Septiembre 2012

Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara

GRC
GRC:
Gobierno, administracin del riesgo y
cumplimiento.
Tmino sombrilla, cada vez ms
utilizado que cubre estas tres reas
de actividades de las empresas.
Estas reas de actividad estn
siendo progresivamente ms
alineados e integrados para mejorar
el rendimiento de la empresa y la
entrega de las necesidades de las
partes interesadas.

Definiciones GRC*
GRC:
GobiernoEl ejercicio de la autoridad,

control, gobierno, acuerdo.

Riesgo (Administracin)Peligro, riesgo
de prdida, dao o destruccin (el acto o arte
de la gestin, la manera de tratar, dirigir,
seguir adelante, o utilizar, con un propsito,
conducta, administracin, direccin, control)

CumplimientoEl acto de cumplimiento,

un rendimiento, en cuanto a su deseo,

demanda o propuesta; concesin; presentacin
* Diccionario en lnea Webster

Tipos de Gobierno
Existen diferentes tipos de gobierno:
Gobierno Corporativo
Gobierno de Proyectos
Gobierno de Tecnologas de Informacin
Gobierno Ambiental
Gobierno Econmico y Financiero

Cada tipo tiene una o ms fuentes de

orientacin, cada uno con objetivos

similares pero con frecuencia varan
trminos y las tcnicas para su
realizacin.

Implementando Gobierno
La integracin de la aplicacin de las

actividades de GRC dentro de una

empresa requiere un enfoque sistmico
para el eficaz logro de los objetivos
empresariales de sus grupos de inters.
Estos enfoques se basan normalmente
en facilitadores de diversos tipos (por
ejemplo, los principios, las polticas,
modelos, marcos, estructuras
organizacionales).

Un ejemplo de modelo GRC

Del Red Book GRC de OCEG

Capability Model version 2.1*

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

Gobierno Corporativo de TI
ISO/IEC 38500: 2008

Gobierno Corporativo de Tecnologa

de Informacin
1.1 Alcance
Este estndar establece los principios rectores para directores de

organizaciones (incluyendo propietarios, miembros del consejo,

directores, socios, ejecutivos de alto nivel, o similar) sobre el uso
eficaz, eficiente y aceptable de la tecnologa de la informacin
(TI) dentro de sus organizaciones.
Esta norma se aplica a la gestin de los procesos de gestin
(toma de decisiones) relativas a los servicios de informacin y
comunicacin utilizados por una organizacin. Estos procesos
pueden ser controlados por especialistas en TI dentro de la
organizacin o de los proveedores de servicios externos, o por
unidades de negocio dentro de la organizacin.

Gobierno Corporativo de TI
ISO/IEC 38500: 2008

Gobierno Corporativo de
Tecnologa
de Informacin
2.1 Principios
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6

Principio
Principio
Principio
Principio
Principio
Principio

1:
2:
3:
4:
5:
6:

Responsabilidad
Estrategia
Adquisicin
Desempeo
Conformidad
Comportamiento Humano

(cont.)

Gobierno Corporativo de TI
ISO/IEC 38500: 2008

Gobierno Corporativo de
Tecnologa de Informacin
2.2 Modelo
Los administradores debe gobernar las TI a travs de
tres tareas principales:
a) Evaluar el uso actual y futuro de TI.
b) Preparacin directa y la aplicacin de planes y
polticas para garantizar que el uso de las TI cumple
con los objetivos de negocio.
c) Monitorear la conformidad de las polticas, y el
desempeo contra los planes.

(cont.)

ISACA y COBIT
ISACA promueve activamente la

investigacin que se traduce en el

desarrollo de productos relevantes y tiles
para los profesionales de Gobierno de TI,
riesgo, control, aseguramiento y
seguridad.
ISACA desarrolla y mantiene el
internacionalmente reconocido marco de
referencia COBIT, ayudar a los
profesionales de TI y lderes empresariales
a cumplir con sus responsabilidades de
gobierno de TI, mientras que la entrega de
valor al negocio.

Evolucin del Alcance

COBIT: Gobierno de TI de las Empresas

(GEIT)
Gobierno de TI
Val IT 2.0

Administracin

(2008)

Control

Risk IT
(2009)

Auditora
COBIT1

1996

COBIT2

1998

COBIT3

2000

COBIT4.0/4.1

2005/7

2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

COBIT 5 en Resumen
COBIT 5 rene a los cinco
principios que permiten a la
empresa de construir una
gobernabilidad efectiva y un marco
de gestin basado en un conjunto
holstico de siete facilitadores que
optimiza la informacin y la
inversin en tecnologa y el uso para
el beneficio de las partes interesadas.

El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a

crear valor ptimo de TI mediante el mantenimiento de

un equilibrio entre la obtencin de beneficios y la
optimizacin de los niveles de riesgo y el uso de los
recursos.
COBIT 5 permite que la informacin y la tecnologa
relacionada para ser gobernado y administrado de
manera integral para el conjunto de la empresa,
teniendo en el pleno de extremo a extremo del negocio
y reas funcionales de responsabilidad, teniendo en
cuenta los intereses relacionados con la TI de grupos de
inters internos y externos.
Los principios y los facilitadores de COBIT 5 son de
carcter genrico y til para las empresas de todos los
tamaos, ya sea comercial, sin fines de lucro o en el
sector pblico.

Los Principios de COBIT 5

1. Satisfacer
las
necesidades
de las partes
interesadas
5. Separar el
Gobierno de la
Administracin

2. Cubrir la
Organizacin de
forma integral

Principios
de COBIT 5

4. Habilitar
un enfoque
holistico

3. Aplicar un
solo marco
integrado

Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.

Habilitadores de COBIT 5
3. Estructuras
Organizacionales

2. Procesos

4. Cultura, tica
y Comportamiento

1. Principios, Polticas y Marcos

5. Informacin

6. Servicios,
Infraestructura
y Aplicaciones

7. Personas,
Habilidades y
Competencias

RECURSOS

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

Gobierno (y administracin) en
COBIT
5
Gobierno asegura que los objetivos de la empresa se
logren mediante la evaluacin de las necesidades de las
partes interesadas, las condiciones y opciones,
estableciendo la direccin a travs de la priorizacin y
decisin, y monitoreando el desempeo, el
cumplimiento y el progreso contra acordaron direccin y
objetivos (EDM).
Administracin planea, construye, ejecuta y
monitorea actividades alineadas con la direccin
establecida por el rgano de gobierno para alcanzar los
objetivos de la empresa(PBRM).
El ejercicio de gobierno y la gestin eficaz en la prctica
requiere el uso adecuado de todos los facilitadores. El
proceso COBIT como modelo de referencia nos permite
enfocar fcilmente sobre las actividades empresariales
relevantes.

Gobierno en COBIT 5
El modelo de referencia COBIT 5 subdivide proceso de
las prcticas relacionadas con la TI y las actividades
de la empresa en dos grandes reas: la gobernanza y
la gestin con la administracin dividida en dominios
de los procesos
El dominio GOBIERNO contiene cinco procesos de
gobierno, dentro de cada proceso, evaluar, dirigir y
supervisar (EDM) Las prcticas se definen.
01 Asegurar el marco de gobierno y el mantenimiento de su
configuracin.
02 Asegurar la entrega beneficios.
03 Garantizar la optimizacin de riesgos.
04 Garantizar la optimizacin de recursos.
05 Garantizar la transparencia de los terceros interesados.

Los cuatro dominios de gestin estn en lnea con las

reas de responsabilidad de planear, construir,

Gobierno en COBIT 5

Procesos para el Gobierno Corporativo de TI

Evaluar, Dirijir y Monitorear

EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento

(cont.)

EDM02 Asegurar
la Entrega de Valor

EDM03 Asegurar
la Optimizacin de
los Riesgos

EDM04 Asegurar
la Optimizacin de
los Recursos

EDM05 Asegurar
la Transparencia a
las partes
interesadas

Alinear, Planear y Organizar

APO01 Administrar el
Marco de la
Administracin de TI

APO08 Administrar
las Relaciones

APO02 Administrar
la Estrategia

APO09 Administrar
los Contratos de
Servicios

Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa

APO04 Administrar la
Innovacin

APO10 Administrar
los Proveedores

APO11 Administrar
la Calidad

BAI04 Administrar la
Disponibilidad y
Capacidad

APO05 Administrar el
Portafolio

APO06 Administrar
el Presupuesto y los
Costos

APO12 Administrar
los Riesgos

APO13 Administrar la
Seguridad

BAI05 Administrar la
Habilitacin del
Cambio

BAI06 Administrar
Cambios

APO07 Administrar el
Recurso Humano

MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar
Programas y
Proyectos

BAI02 Administrar
la Definicin de
Requerimientos

BAI03 Administrar
la Identificacin y
Construccin de
Soluciones

BAI08 Administrar el
Conocimiento

BAI09 Administrar
los Activos

BAI10 Admnistrar la
Configuracin

BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones

MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

Entregar, Servir y Dar Soporte

DSS01 Administrar
las Operaciones

DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes

DSS03 Administrar
Problemas

DSS04 Administrar la
Continuidad

DSS05 Administrar
los Servicios de
Seguridad

DSS06 Administrar
los Controles en los
Procesos de Negocio

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos

Administracin de Riesgos en
COBIT 5

El dominio de Gobierno cotiene cinco procesos de

gobierno, uno de los cuales se enfoca en el riesgo
relacionado con los objetivos de los terceros
interesados: EDM03 Asegurar la optimizacin
de riesgos.
Descripcin de procesos
Asegurar que el apetito de riesgo de la empresa y la
tolerancia se entiende, articulado y comunicado, y que el
riesgo de valor de la empresa en relacin con el uso de
las TI es identificado y gestionado.

Proceso de declaracin de propsito

Asegurar que riesgos relacionados con TI de la empresa
no supere la tolerancia al riesgo y el apetito de riesgo, el
impacto de los riesgos de TI de valor de la empresa es
identificado y manejado, y la posibilidad de fallas de
cumplimiento es mnimo.

Administracin de Riesgos en
COBIT 5 (cont.)
El dominio de Gestin Alinear, Planear y
Organizar contiene un proceso de riesgos
relacionados: APO12 Gestionar el riesgo.
Descripcin del proceso
Continuamente identificar, evaluar y reducir los
riesgos relacionados con TI dentro de los
niveles de tolerancia establecidos por la
direccin ejecutiva de la empresa.

Proceso de Declaracin de Propsito

Integrar la gestin de riesgos empresariales
relacionados con la TI con el ERM en general, y
equilibrar los costos y beneficios de la gestin
de riesgos relacionados con TI de la empresa.

Administracin de Riesgos en
COBIT 5 (cont.)

Procesos para el Gobierno Corporativo de TI

Evaluar, Dirijir y Monitorear

EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento

EDM02 Asegurar
la Entrega de Valor

EDM03 Asegurar
la Optimizacin de
los Riesgos

EDM04 Asegurar
la Optimizacin de
los Recursos

EDM05 Asegurar
la Transparencia a
las partes
interesadas

Alinear, Planear y Organizar

APO01 Administrar el
Marco de la
Administracin de TI

APO08 Administrar
las Relaciones

APO02 Administrar
la Estrategia

APO09 Administrar
los Contratos de
Servicios

Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa

APO04 Administrar la
Innovacin

APO10 Administrar
los Proveedores

APO11 Administrar
la Calidad

BAI04 Administrar la
Disponibilidad y
Capacidad

APO05 Administrar el
Portafolio

APO06 Administrar
el Presupuesto y los
Costos

APO12 Administrar
los Riesgos

APO13 Administrar la
Seguridad

BAI05 Administrar la
Habilitacin del
Cambio

BAI06 Administrar
Cambios

APO07 Administrar el
Recurso Humano

MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar
Programas y
Proyectos

BAI02 Administrar
la Definicin de
Requerimientos

BAI03 Administrar
la Identificacin y
Construccin de
Soluciones

BAI08 Administrar el
Conocimiento

BAI09 Administrar
los Activos

BAI10 Admnistrar la
Configuracin

BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones

MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

Entregar, Servir y Dar Soporte

DSS01 Administrar
las Operaciones

DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes

DSS03 Administrar
Problemas

DSS04 Administrar la
Continuidad

DSS05 Administrar
los Servicios de
Seguridad

DSS06 Administrar
los Controles en los
Procesos de Negocio

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos

Administracin de Riesgos en
COBIT
5
(cont.)

Todas las actividades de la empresa tienen una

exposicin de riesgos asociados derivados de las
amenazas ambientales que aprovechan las
vulnerabilidades habilitador
EDM03 Asegurar optimizacin del riesgo
asegura que el enfoque de riesgo de los terceros
interesado este enfocado a como sern tratados los
riesgos que enfrenta la empresa.
APO12 Gestin de Riesgo proporciona a las
empresas la gestin de riesgos (ERM) las
diposiciones que aseguren que la direccin dada por
los terceros interesados es seguida por la empresa.
Todos los dems procesos incluye prcticas y
actividades que son diseadas para tratar el riesgo
relacionado (evitar, reducir / mitigar / controlar/
compartir / transferir / aceptar).

Administracin de Riesgos en
COBIT
Adems de5
las(cont.)
actividades, COBIT 5 sugiere las

Align, Plan and Organise

responsabilidades, funciones y responsabilidades de las

empresas y el gobierno / administracin estructuras (tablas
RACI) para cada proceso. Estos incluyen roles para
riesgos relacionados.

Source: COBIT 5: Enabling Processes, page 108. 2012 ISACA All rights reserved.

Cumplimiento en COBIT 5
El dominio de la gestin Monitorear, Evaluar y
valorar contiene un proceso de cumplimiento
enfocado: MEA03 supervisar, evaluar y
evaluar el cumplimiento de los requisitos
externos.
Descripcin del proceso
Evaluar que los procesos de TI y procesos de
negocios apoyados por TI cumplen con las leyes,
regulaciones y requerimientos contractuales.
Conseguir garantas de que los requisitos se han
identificado y se cumplan, e integrar el
cumplimiento de TI con el cumplimiento general
de la empresa.
Proceso de propsito de declaracin
Asegrese de que la empresa cumple con todos

Cumplimiento en COBIT 5 (cont.)

Procesos para el Gobierno Corporativo de TI

Evaluar, Dirijir y Monitorear

EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento

EDM02 Asegurar
la Entrega de Valor

EDM03 Asegurar
la Optimizacin de
los Riesgos

EDM04 Asegurar
la Optimizacin de
los Recursos

EDM05 Asegurar
la Transparencia a
las partes
interesadas

Alinear, Planear y Organizar

APO01 Administrar el
Marco de la
Administracin de TI

APO08 Administrar
las Relaciones

APO02 Administrar
la Estrategia

APO09 Administrar
los Contratos de
Servicios

Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa

APO04 Administrar la
Innovacin

APO10 Administrar
los Proveedores

APO11 Administrar
la Calidad

BAI04 Administrar la
Disponibilidad y
Capacidad

APO05 Administrar el
Portafolio

APO06 Administrar
el Presupuesto y los
Costos

APO12 Administrar
los Riesgos

APO13 Administrar la
Seguridad

BAI05 Administrar la
Habilitacin del
Cambio

BAI06 Administrar
Cambios

APO07 Administrar el
Recurso Humano

MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar
Programas y
Proyectos

BAI02 Administrar
la Definicin de
Requerimientos

BAI03 Administrar
la Identificacin y
Construccin de
Soluciones

BAI08 Administrar el
Conocimiento

BAI09 Administrar
los Activos

BAI10 Admnistrar la
Configuracin

BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones

MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

Entregar, Servir y Dar Soporte

DSS01 Administrar
las Operaciones

DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes

DSS03 Administrar
Problemas

DSS04 Administrar la
Continuidad

DSS05 Administrar
los Servicios de
Seguridad

DSS06 Administrar
los Controles en los
Procesos de Negocio

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos

Cumplimiento en COBIT 5 (cont.)

Cumplimiento legal y regulatorio es una
parte clave de la gestin efectiva de una
empresa, de ah su inclusin en el trmino
GRC y en los objetivos de la empresa
COBIT 5 y la estructura soportante proceso
facilitador (MEA03).
Adicionalmente al MEA03, todas las
actividades de la empresa incluyen las
actividades de control que estn diseados
para asegurar el cumplimiento no slo
externamente impuestas exigencias
legislativas o reglamentarias, sino tambin
con las empresas gobernabilidad

Cumplimiento en COBIT 5 (cont.)

Adems de las actividades, COBIT 5 sugiere las
responsabilidades, funciones y responsabilidades de las
empresas y el gobierno / administracin estructuras (tablas
RACI) para cada proceso. Estos incluyen una funcin
relacionada con el cumplimiento.

Source: COBIT 5: Enabling Processes, page 213. 2012 ISACA All rights reserved.

Resumen
El marco COBIT 5 incluye la orientacin necesaria para
apoyar los objetivos de GRC de la empresa y actividades
de apoyo:
Actividades de gobierno relacionadas a GEIT (5 procesos)
Procesos de gestin de riesgos y apoyo para la gestin de
riesgos a travs del espacio GEIT
Cumplimiento: un enfoque especfico en las actividades de
cumplimiento en el marco y cmo encajan dentro de la
imagen completa de la empresa

La inclusin de los acuerdos de GRC en el marco de

negocio para GEIT ayuda a las empresas a evitar el
problema principal con soluciones GRC -silos de
actividad!
ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other publication or product.