Documentos de Académico
Documentos de Profesional
Documentos de Cultura
IT Governance Institute®
TM
El Instituto de Gobierno de TI (ITGI ) (www.itgi.org) es una entidad de investigación independiente y sin
fines de lucro, que brinda orientación a la comunidad empresarial global sobre aspectos relacionados con
el gobierno de los activos de Tecnologías de la Información (TI). ITGI fue fundado en 1998 por ISACA,
asociación sin fines de lucro, para ayudar a ejecutivos y profesionales de TI a garantizar que las TI
entreguen valor y mitiguen sus riesgos a través del alineamiento con los objetivos del negocio, que los
recursos de TI se gestionen adecuadamente y se mida su rendimiento. ITGI desarrolló los Objetivos de
® TM
Control para la Información y Tecnologías Relacionadas (COBIT ) y Val IT , y ofrece investigación
original y casos de estudio para ayudar a líderes empresariales y consejos de administración a cumplir
con sus responsabilidades en el gobierno de TI y a los profesionales de TI a entregar servicios de valor
añadido.
Límite de responsabilidad
TM
ITGI ha diseñado y creado esta publicación, titulada en su versión española “ITGI Facilita la Adopción
de ISO/IEC 38500:2008” (la Obra), principalmente como un recurso educativo. ITGI no afirma que el uso
de cualquier parte de la obra asegurará un resultado exitoso. No debe considerarse que la Obra incluya
cualquier información, procedimientos y pruebas adecuadas o excluya otra información, procedimientos y
pruebas que estén razonablemente dirigidos a la obtención de los mismos resultados. En la determinación
de la adecuación de cualquier procedimiento de información o de prueba, los profesionales del control
deben aplicar su propio criterio profesional a las circunstancias de control específicas presentadas por el
entorno concreto de sistemas o de TI.
Reserva de derechos
© 2009 ITGI. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada,
copiada, modificada, distribuida, visualizada o almacenada en un sistema de recuperación o transmitida
en cualquier forma por cualquier medio (electrónico, mecánico, fotocopia, grabación o de otro tipo) sin la
previa autorización por escrito de ITGI. La reproducción y el uso de cualquier parte de esta publicación se
permiten únicamente para uso académico, interno y no comercial y para encargos de consulta y
asesoramiento, y debe incluir plena atribución de la fuente del material. No se concede ningún otro
derecho o permiso respecto a esta obra.
IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 EE.UU.
Teléfono: +1.847.660.5700
Fax: +1.847.253.1443
E-mail: info@itgi.org
Sitio Web: www.itgi.org
Agradecimientos
ITGI desea reconocer a:
Investigador
Gary Hardy, CGEIT, IT Winners, South Africa
Revisores Expertos
Gregory T. Grocholski, CISA, The Dow Chemical Company, USA
Tony Hayes, FCPA, Queensland Government, Australia
John W. Lain hart IV, CISA, CISM, CGEIT, IBM Business Consulting Services, USA
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia
Maxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia
Robert E. Stroud, CA Inc., USA
John Thorp, CMC, I.S.P., the Thorp Network Inc., Canada
Wim Van Grembergen, Ph.D., University of Antwerp Management School and IT Alignment and
Governance Research Institute, Belgium
Vatsaraman Venkatakrishnan, CISA, CISM, CGEIT, ACA, Emirates Airlines, UAE
Patronato de ITGI
Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, UK, International President
George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Belgium, Vice President
Yonosuke Harada, CISA, CISM, CAIS, InfoCom Research Inc., Japan, Vice President
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vice President
José Ángel Peña Ibarra, CGEIT, Consultoría en Comunicaciones e Info., SA & CV, México,
Vice President
Robert E. Stroud, CA Inc., USA, Vice President
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, Vice President
Frank Yam, CISA, CIA, CCP, CFE, CFSA, FFA, FHKCS, FHKIoD, Focus Strategic Group, Hong
Kong, VicePresident
Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, Past International
President
Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (retired), USA, Past International President
Comité de Gobierno de TI
Tony Hayes, FCPA, Queensland Government, Australia, Chair
Sushil Chatterji, Edutech Enterprises, Singapore
Kyung-Tae Hwang, CISA, Dongguk University, Korea
John W. Lain hart IV, CISA, CISM, CGEIT, IBM Business Consulting Services, USA
Hugh Penri-Williams, CISA, CISM, CCSA, CIA, Accenture Technology Services, France
Gustavo Adolfo Solís Montes, CISA, CISM, Grupo Cynthus, México
Robert E. Stroud, CA Inc., USA
John Thorp, CMC, I.S.P., the Thorp Network Inc., Canada
Wimp Van Grembergen, Ph.D., University of Antwerp Management School and IT Alignment
and Governance Research Institute, Belgium
Introducción
1
En 1998, ISACA identificó la necesidad de mejorar la forma en que las
Nunca ha sido empresas gobernaban el uso de la información y las tecnologías
mayor la relacionadas (TI) y, en una iniciativa innovadora, creó el IT Governance
necesidad de
obtener más
Institute (ITGI) [Instituto de gobierno de las tecnologías de la información y
valor de las la comunicación], para incentivar la investigación y desarrollar guías en
inversiones este ámbito clave del gobierno corporativo. ITGI (www.itgi.org) fue creado
en TI y de para promover el pensamiento global y la orientación en la evaluación,
gestionar un dirección y la supervisión de la utilización de las Tecnologías de la
abanico cada Información en la empresa.
vez mayor de
riesgos ITGI dio la bienvenida a la publicación de un nuevo estándar, la norma
relacionados ISO/IEC ISO38500:2008 Corporate governance of information technology,
con TI. marcando un reconocimiento global de la importancia de este tópico y la
necesidad de formalizar su adopción. En una época en que la importancia
de la información y la tecnología está a nuestro alrededor, en cada aspecto
de los negocios y de la vida pública, nunca ha sido mayor la necesidad de
obtener más valor de las inversiones en TI y de gestionar un abanico cada
vez mayor de riesgos relacionados con TI. El aumento de la regulación
también provoca una mayor concienciación de los directores sobre la
importancia de un entorno TIC bien controlado y la necesidad de cumplir
las obligaciones legales, regulatorias y contractuales. Un gobierno
Un gobierno
empresarial eficaz de TI se traducirá en la mejora del desempeño y en el
empresarial
eficaz de TI se cumplimiento de requisitos externos.
traducirá en la ITGI considera que una norma internacional proporciona una base para el
mejora del posterior desarrollo del gobierno, sobre todo porque es aplicable a
desempeño y
en el
cualquier organización, desde las más pequeñas a las más grandes,
cumplimiento independientemente de su estructura o propósito. Sin embargo, para una
de requisitos adopción efectiva, la norma exige más apoyo a su implantación. La familia
externos. de productos ITGI puede ofrecer tal apoyo de forma adaptable a cualquier
empresa.
1
ISACA® fue fundada en 1969 y cuenta actualmente con más de 86.000 socios en más de 160 países.
ISACA es un reconocido líder mundial en gobierno de TI, el control, la seguridad y el aseguramiento. ISACA patrocina
conferencias internacionales, publica el ISACA Journal ®, y desarrolla normas internacionales de control y auditoría
de sistemas de información. También administra tres certificaciones de prestigio internacional: Certified Information
Systems Auditor™ (CISA®), Certified Information Security Manager® (CISM®) and Certified in the Governance of
Enterpriser IT™ (CGEIT™).
El enfoque de ITGI
A principios de 1990, ISACA reconoció que los auditores, quienes tenían
sus propias listas de comprobación para evaluar los controles y la eficacia
de TI, hablaban un lenguaje diferente del usado por los directores de
empresa y los profesionales de TI. Para salvar esta brecha en la
comunicación, se creó COBIT como un marco de control de TI para los
directores de empresa, los administradores de TI y los auditores, basado
en un grupo genérico de procesos significativos de TI tanto para
Las guías de profesionales de TI como para la dirección de la empresa.
ITGI, basadas
Aprovechando la base única de miembros de ISACA, profesionales de
en los marcos
de COBIT y gobierno, control, seguridad y aseguramiento de TI, y las experiencias
Val IT, prácticas de cientos de expertos globales, ITGI ha creado una guía líder en
permiten a el sector basada en el marco COBIT, incluyendo el marco recientemente
administrador publicado Val ITTM, proporcionando un lenguaje y enfoque comunes que
es y ayuden a miles de empresas alrededor del mundo a entender y poner en
directores de práctica los principios de gobierno de TI. Como organización no lucrativa,
empresa un ITGI ha creado amplias prácticas que son independientes de cualquier
mejor tecnología, vendedor o producto comercial específico, y ha puesto esta
entendimiento
guía a libre disposición. Esto ayuda a consejos de dirección, ejecutivos,
de cómo
dirigir y directores y gerentes a implementar estructuras, procesos y herramientas
gestionar el que les permitan entender y dirigir requisitos importantes relacionados con
uso de TI en TI, supervisar y evaluar actividades críticas de TI y tomar decisiones
la empresa. informadas.
Las empresas necesitan confiar en los sistemas de información y en la
información que estos producen. Necesitan poder contar con un
rendimiento positivo de las inversiones en TI. Las guías de ITGI, basadas
en los marcos de COBIT y Val IT, permiten a administradores y directores
de empresa un mejor entendimiento de cómo dirigir y gestionar el uso de
TI en la empresa y el estándar de buena práctica que debe esperarse de
los proveedores de TI. COBIT and Val IT aportan las herramientas para
dirigir y supervisar todas las actividades relacionadas con las TI.
Al final de esta publicación se incluye una descripción de todos los
productos de gobierno de TI suministrados por ITGI.
Principio 1-Responsabilidad
¿Qué significa en la práctica?: La empresa (cliente) y TI (proveedor)
Se requieren deberían colaborar en la utilización de comunicaciones efectivas basadas
estructuras de en una relación de confianza y positiva, demostrando claridad con respecto
organización a la responsabilidad y la rendición de cuentas. Para empresas más
de gobierno grandes, un comité ejecutivo de TI (generalmente referido como el comité
apropiadas, de estrategia de TI), actuando en nombre del consejo y presidido por un
así como
funciones y
miembro del consejo, es un mecanismo muy eficaz para la evaluación,
responsabili- dirección y supervisión de la utilización de TI en la empresa, y para
dades asesorar a la junta sobre cuestiones críticas de TI. Los directores de las
correctamente pequeñas y medianas empresas, con una estructura de mando más simple
asignadas por y mecanismos de comunicación más rápidos, necesitan utilizar un enfoque
la dirección, más directo para supervisar las actividades de TI. En todos los casos, se
que requieren estructuras de organización de gobierno apropiadas, así como
proporcionen funciones y responsabilidades correctamente asignadas por la dirección,
claridad en
que proporcionen claridad en cuanto a la autoría y la rendición de cuentas
cuanto a la
autoría y la
por las tareas y decisiones importantes. Esto debería incluir las relaciones
rendición de con proveedores críticos de servicios de TI.
cuentas por
las tareas y
decisiones ¿Cómo es que las guías de ITGI facilitan las mejores prácticas?
importantes.
La publicación Board Briefing on IT Governance and Unlocking Value:
An Executive Primer on the Critical Role of IT Governance, 2nd Edition
proporciona orientación sobre los roles y responsabilidades para el
gobierno de TI en las empresas y para la función de TI, ya sea interna o
tercerizada, y describe la forma de establecer un eficaz comité ejecutivo
(estratégico) de TI.
3
Los marcos COBIT y Val IT incluyen tablas RACI que muestran
ejemplos de roles y responsabilidades para miembros del consejo y de
la gerencia para todos los procesos y actividades claves relacionados
con TI.
La publicación IT Governance Implementation Guide: Using COBIT®
and Val IT™, 2nd Edition explica las responsabilidades de las partes
interesadas e involucradas en la aplicación o la mejora del esquema de
gobierno de TI.
2
Para las definiciones de los seis principios expuestos en esta sección, por favor refiérase al estándar IS0/IEC
38500-2008, que puede comprarse a Distribuidores Autorizados, tales como ANSI, 25 West 43rd Street, New York,
NY 10036, EE.UU., +1.212.642.4900, o http://webstore.ansi.org u otro vendedor autorizado.
3
Las tablas RACI identifican quiénes son los responsables, los que rinden cuentas, los consultados e informados
para una tarea.
Principio 2-Estrategia
Principio 3-Adquisición
Principio 4-Desempeño
Principio 5-Conformidad
Cualquier cambio
Principio 6-El comportamiento humano.
viabilizado por TI,
incluyendo el ¿Qué significa en la práctica?: La implementación de cualquier cambio
mismo gobierno viabilizado por TI, incluyendo el mismo gobierno de TI, generalmente
de TI, requiere significativos cambios culturales y de comportamiento en las
generalmente empresas, los clientes y los socios de negocios. Esto puede crear temor y
requiere malentendidos entre el personal, de modo que la implementación necesita
significativos ser gestionada con cuidado, sobre todo si el personal debe permanecer
cambios
altamente comprometido. Los directores deben comunicar claramente los
culturales y de
comportamiento objetivos, y ser percibidos como los abanderados en el apoyo de los
en las empresas, cambios propuestos. Los aspectos clave del cambio son el entrenamiento y
los clientes y los la mejora de habilidades del personal, especialmente dada la veloz
socios de naturaleza evolutiva de la tecnología. Las personas están impactadas por
negocios. las TI en todos los niveles de la empresa, sean partes interesadas,
gerentes, usuarios o especialistas que proporcionan servicios y soluciones
de TI al negocio. Más allá de la empresa, las TI afectan a clientes y socios
de negocio, incrementando el autoservicio y las transacciones
Aspectos tales automatizadas entre compañías, dentro de los países y fuera de ellos. Si
como la bien es cierto los procesos de negocio facilitados por TI traen nuevas
privacidad y el ventajas y oportunidades, también incorporan un creciente número de
fraude son riesgos. Aspectos tales como la privacidad y el fraude son preocupaciones
preocupaciones crecientes para las personas; se requiere gestionar esos y otros riesgos
crecientes para para que la gente confíe en los sistemas de TI que utilizan. Los sistemas de
las personas; información también impactan dramáticamente en las prácticas laborales, a
se requiere
través de la automatización de procedimientos manuales.
gestionar esos
y otros riesgos
para que la ¿Cómo las guías de ITGI facilitan las mejores prácticas?
gente confíe en Siete procesos de Val IT y COBIT proporcionan orientación ante los
los sistemas de requerimientos que se relacionan con el comportamiento humano:
TI que utilizan. El capítulo 6 de Val IT, Responsabilidades y rendición de cuentas,
acentúa la necesidad de entender los cambios relacionados con el
gobierno de las inversiones y para los mismos cambios facilitados por
TI.
El proceso de COBIT PO4 Definir la organización y relaciones de TI,
explica cómo la organización de TI y sus procesos relacionados son
Un gobierno
desarrollados y mantenidos apropiadamente para satisfacer las
empresarial necesidades y requerimientos del personal en todos los niveles.
eficaz de TI se El proceso de COBIT PO6 Comunicar la dirección y objetivos de la
traducirá en la gerencia, se focaliza en asegurar que las metas y los objetivos son
mejora del comunicados claramente y que la cultura laboral fomenta la actitud
desempeño y
correcta del trabajador hacia el riesgo y el control.
en el
cumplimiento El proceso de COBIT PO7 Gestión de los recursos humanos de TI
de requisitos explica cómo el desempeño de los individuos debería estar alineado con
externos. las metas corporativas, cómo deberían mantenerse las habilidades de
los especialistas de TI, y cómo deberían definirse los roles y
responsabilidades.
El proceso COBIT AI2 Adquirir y mantener el software de aplicación,
ayuda a asegurar las especificaciones de diseño de las aplicaciones
que satisfacen los requerimientos de uso y operación del personal.
Las mejores
Adopción del estándar
prácticas en
COBIT son un
enfoque común
para un buen
control de TI
implementado
por gerentes de
TI y del negocio,
y evaluado en la
misma base por
auditores.
Evaluar:
Las publicaciones The Board Briefing on IT Governance, 2nd Edition y
Unlocking Value: An Executive Primer on the Critical Role of IT
Governance describen qué deberían hacer los consejos de dirección
acerca del gobierno de TI, qué cubre, qué cuestiones deben
preguntarse, y cómo comparar la propia empresa con las mejores
prácticas.
COBIT and Val IT proporcionan una base para evaluar la idoneidad de
las prácticas de gestión y los controles de TI, permitiendo a la dirección
la evaluación y comparación de la capacidad de los procesos de TI.
Las fases Identificación de necesidades y Visualizar la solución de la
®
publicación IT Governance Implementation Guide: Using COBIT and
Val IT, 2nd Edition, explican cómo focalizar la evaluación de TI en
necesidades de negocio y procesos críticos de TI, y luego, cómo
realizar un análisis de brecha respecto de las mejores prácticas.
®
COBIT QuickStart™, 2nd Edition, proporciona orientación a las
pequeñas o grandes empresas que desean evaluar su control y
gobierno de TI con referencia a una línea base predefinida.
La publicación Enterprise Value: Governance of IT Investments, Getting
Started With Value Management, ayuda a identificar factores
desencadenantes y a evaluar necesidades de negocio para mejorar la
gestión de inversiones relacionadas con las TI.
La publicación Enterprise Value: Governance of IT Investments, The
Business Case, ayuda a generar casos de negocio para el
mejoramiento del gobierno de TI.
®
La publicación IT Assurance Guide: Using COBIT permite que los
profesionales de aseguramiento brinden evaluaciones independientes a
la gerencia y proporcionen un método y ejemplos para conducir
auditorías y revisiones.
Dirigir:
Las publicaciones The Board Briefing on IT Governance, 2nd Edition y
Unlocking Value: An Executive Primer on the Critical Role of IT
Governance, describen lo que los consejos de dirección pueden hacer
sobre el gobierno de TI y explican cómo se concretan.
COBIT y Val IT proporcionan guías de implementación sobre objetivos
de control y prácticas clave de administración que se deberían
considerar, (basado en mejores prácticas y en estándares
internacionales generalmente aceptados), para implementar un buen
gobierno de TI.
Las fases Planificar la solución e Implementar la solución de la
®
publicación IT Governance Implementation Guide: Using COBIT and
Val IT, 2nd Edition, explican cómo priorizar, planificar y diseñar mejoras
en el gobierno de TI.
®
COBIT QuickStart™, 2nd Edition, brinda una línea base recomendada
de controles para las pequeñas o grandes empresas que deseen dar un
paso inicial hacia el buen gobierno de TI.
Para aquellas empresas donde la seguridad es el área clave que
®
necesita mejoras, COBIT Security Baseline™, 2nd Edition proporciona
una guía sencilla para dirigir la implementación de controles de
seguridad clave de TI, en alineamiento con el estándar de seguridad
ISO/IEC 27002.
Monitorizar:
Las publicaciones The Board Briefing on IT Governance, 2nd Edition y
Unlocking Value: An Executive Primer on the Critical Role of IT
Governance, describen lo que los consejos de dirección deberían hacer
para supervisar efectivamente el gobierno corporativo.
COBIT proporciona guías bajo la forma de procesos recomendados para
supervisar y evaluar las TI (dominio ME), cubriendo la medición del
desempeño, la efectividad del control interno, conformidad con
requisitos externos y la consecución de un eficaz gobierno corporativo.
COBIT y Val IT incluyen ejemplos de metas y métricas para apoyar el
establecimiento de un proceso de supervisión efectivo alineado con
metas y objetivos de negocio.
La fase Implementar la solución de la publicación IT Governance
®
Implementation Guide: Using COBIT and Val IT, 2nd Edition, explica
cómo introducir el gobierno de TI en las operaciones de negocio
normales y cómo supervisar y medir el éxito de las mejoras en el
gobierno de TI.
®
La publicación The IT Assurance Guide: Using COBIT permite que los
profesionales de aseguramiento proporcionen opiniones independientes
a la gerencia sobre el desempeño y la conformidad, brindando un
método y ejemplos para conducir auditorías y revisiones.
Responsabilidades
Comportamiento
Monitorizar
Conformidad
como el modelo
Adquisición
Desempeño
Estrategias
humano
Evaluar
de control
Dirigir
estándar “de
facto”