Septiembre 2012

Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara

GRC
GRC:
Gobierno, administracin del riesgo y
cumplimiento.
Tmino sombrilla, cada vez ms
utilizado que cubre estas tres reas
de actividades de las empresas.
Estas reas de actividad estn
siendo progresivamente ms
alineados e integrados para mejorar
el rendimiento de la empresa y la
entrega de las necesidades de las
partes interesadas.
Definiciones GRC*
GRC:
GobiernoEl ejercicio de la autoridad,
control, gobierno, acuerdo.
Riesgo (Administracin)Peligro, riesgo
de prdida, dao o destruccin (el acto o arte
de la gestin, la manera de tratar, dirigir,
seguir adelante, o utilizar, con un propsito,
conducta, administracin, direccin, control)
CumplimientoEl acto de cumplimiento,
un rendimiento, en cuanto a su deseo,
demanda o propuesta; concesin; presentacin
* Diccionario en lnea Webster
Tipos de Gobierno
Existen diferentes tipos de gobierno:
Gobierno Corporativo
Gobierno de Proyectos
Gobierno de Tecnologas de Informacin
Gobierno Ambiental
Gobierno Econmico y Financiero
Cada tipo tiene una o ms fuentes de
orientacin, cada uno con objetivos
similares pero con frecuencia varan
trminos y las tcnicas para su
realizacin.
Implementando Gobierno
La integracin de la aplicacin de las
actividades de GRC dentro de una
empresa requiere un enfoque sistmico
para el eficaz logro de los objetivos
empresariales de sus grupos de inters.
Estos enfoques se basan normalmente
en facilitadores de diversos tipos (por
ejemplo, los principios, las polticas,
modelos, marcos, estructuras
organizacionales).
 Un ejemplo de modelo GRC
Del Red Book GRC de OCEG
Capability Model version 2.1*

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

Gobierno Corporativo de TI
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnologa
de Informacin
1.1 Alcance
Este estndar establece los principios rectores para directores de
organizaciones (incluyendo propietarios, miembros del consejo,
directores, socios, ejecutivos de alto nivel, o similar) sobre el uso
eficaz, eficiente y aceptable de la tecnologa de la informacin
(TI) dentro de sus organizaciones.
Esta norma se aplica a la gestin de los procesos de gestin
(toma de decisiones) relativas a los servicios de informacin y
comunicacin utilizados por una organizacin. Estos procesos
pueden ser controlados por especialistas en TI dentro de la
organizacin o de los proveedores de servicios externos, o por
unidades de negocio dentro de la organizacin.
Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008

Gobierno Corporativo de
Tecnologa
de Informacin
2.1 Principios

2.1.1 Principio 1: Responsabilidad

2.1.2 Principio 2: Estrategia
2.1.3 Principio 3: Adquisicin
2.1.4 Principio 4: Desempeo
2.1.5 Principio 5: Conformidad
2.1.6 Principio 6: Comportamiento Humano
Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008

Gobierno Corporativo de
Tecnologa de Informacin
2.2 Modelo

Los administradores debe gobernar las TI a travs de

tres tareas principales:
a) Evaluar el uso actual y futuro de TI.
b) Preparacin directa y la aplicacin de planes y
polticas para garantizar que el uso de las TI cumple
con los objetivos de negocio.
c) Monitorear la conformidad de las polticas, y el
desempeo contra los planes.
ISACA y COBIT
ISACA promueve activamente la
investigacin que se traduce en el
desarrollo de productos relevantes y tiles
para los profesionales de Gobierno de TI,
riesgo, control, aseguramiento y
seguridad.
ISACA desarrolla y mantiene el
internacionalmente reconocido marco de
referencia COBIT, ayudar a los
profesionales de TI y lderes empresariales
a cumplir con sus responsabilidades de
gobierno de TI, mientras que la entrega de
valor al negocio.
COBIT: Gobierno de TI de las Empresas
(GEIT)
Evolucin del Alcance

Gobierno de TI

Val IT 2.0
Administracin (2008)

Control
Risk IT
(2009)
Auditora

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1

1996 1998 2000 2005/7 2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

COBIT 5 en Resumen
COBIT 5 rene a los cinco
principios que permiten a la
empresa de construir una
gobernabilidad efectiva y un marco
de gestin basado en un conjunto
holstico de siete facilitadores que
optimiza la informacin y la
inversin en tecnologa y el uso para
el beneficio de las partes interesadas.
El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a
crear valor ptimo de TI mediante el mantenimiento de
un equilibrio entre la obtencin de beneficios y la
optimizacin de los niveles de riesgo y el uso de los
recursos.
COBIT 5 permite que la informacin y la tecnologa
relacionada para ser gobernado y administrado de
manera integral para el conjunto de la empresa,
teniendo en el pleno de extremo a extremo del negocio
y reas funcionales de responsabilidad, teniendo en
cuenta los intereses relacionados con la TI de grupos de
inters internos y externos.
Los principios y los facilitadores de COBIT 5 son de
carcter genrico y til para las empresas de todos los
tamaos, ya sea comercial, sin fines de lucro o en el
sector pblico.
Los Principios de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas

5. Separar el 2. Cubrir la
Gobierno de la Organizacin de
Administracin forma integral

Principios
de COBIT 5

4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado

Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.

Habilitadores de COBIT 5

2. Procesos 3. Estructuras 4. Cultura, tica

Organizacionales y Comportamiento

1. Principios, Polticas y Marcos

6. Servicios, 7. Personas,
5. Informacin Infraestructura Habilidades y
y Aplicaciones Competencias

RECURSOS

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

Gobierno (y administracin) en
COBIT 5
Gobierno asegura que los objetivos de la empresa se
logren mediante la evaluacin de las necesidades de las
partes interesadas, las condiciones y opciones,
estableciendo la direccin a travs de la priorizacin y
decisin, y monitoreando el desempeo, el
cumplimiento y el progreso contra acordaron direccin y
objetivos (EDM).
Administracin planea, construye, ejecuta y
monitorea actividades alineadas con la direccin
establecida por el rgano de gobierno para alcanzar los
objetivos de la empresa(PBRM).
El ejercicio de gobierno y la gestin eficaz en la prctica
requiere el uso adecuado de todos los facilitadores. El
proceso COBIT como modelo de referencia nos permite
enfocar fcilmente sobre las actividades empresariales
relevantes.
Gobierno en COBIT 5
El modelo de referencia COBIT 5 subdivide proceso de
las prcticas relacionadas con la TI y las actividades
de la empresa en dos grandes reas: la gobernanza y
la gestin con la administracin dividida en dominios
de los procesos
El dominio GOBIERNO contiene cinco procesos de
gobierno, dentro de cada proceso, evaluar, dirigir y
supervisar (EDM) Las prcticas se definen.
01 Asegurar el marco de gobierno y el mantenimiento de su
configuracin.
02 Asegurar la entrega beneficios.
03 Garantizar la optimizacin de riesgos.
04 Garantizar la optimizacin de recursos.
05 Garantizar la transparencia de los terceros interesados.
Los cuatro dominios de gestin estn en lnea con las
reas de responsabilidad de planear, construir,
Gobierno en COBIT 5
Evaluar, Dirijir y Monitorear
(cont.)
Procesos para el Gobierno Corporativo de TI

EDM01 Asegurar
que se fija el Marco EDM04 Asegurar EDM05 Asegurar
EDM02 Asegurar EDM03 Asegurar
de Gobierno y su la Optimizacin de la Transparencia a
la Entrega de Valor la Optimizacin de
Mantenimiento los Recursos las partes
los Riesgos
interesadas

Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar el APO03 Administrar APO05 Administrar el APO07 Administrar el
APO02 Administrar APO04 Administrar la APO06 Administrar
Marco de la la Arquitectura Portafolio Recurso Humano
la Estrategia Innovacin el Presupuesto y los
Administracin de TI Corporativa Costos

MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeo y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar la Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos Seguridad
las Relaciones
Servicios

Construir, Adquirir e Implementar

BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definicin de la Identificacin y Habilitacin del Aceptacin de
Disponibilidad y Cambios
Proyectos Requerimientos Construccin de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Conocimiento los Activos Configuracin

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar la DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

Administracin de Riesgos en
COBIT 5
El dominio de Gobierno cotiene cinco procesos de
gobierno, uno de los cuales se enfoca en el riesgo
relacionado con los objetivos de los terceros
interesados: EDM03 Asegurar la optimizacin
de riesgos.
Descripcin de procesos
Asegurar que el apetito de riesgo de la empresa y la
tolerancia se entiende, articulado y comunicado, y que el
riesgo de valor de la empresa en relacin con el uso de
las TI es identificado y gestionado.
Proceso de declaracin de propsito
Asegurar que riesgos relacionados con TI de la empresa
no supere la tolerancia al riesgo y el apetito de riesgo, el
impacto de los riesgos de TI de valor de la empresa es
identificado y manejado, y la posibilidad de fallas de
cumplimiento es mnimo.
Administracin de Riesgos en
COBIT 5 (cont.)
El dominio de Gestin Alinear, Planear y
Organizar contiene un proceso de riesgos
relacionados: APO12 Gestionar el riesgo.
Descripcin del proceso
Continuamente identificar, evaluar y reducir los
riesgos relacionados con TI dentro de los
niveles de tolerancia establecidos por la
direccin ejecutiva de la empresa.
Proceso de Declaracin de Propsito
Integrar la gestin de riesgos empresariales
relacionados con la TI con el ERM en general, y
equilibrar los costos y beneficios de la gestin
de riesgos relacionados con TI de la empresa.
Administracin de Riesgos en
COBIT 5 (cont.)
Evaluar, Dirijir y Monitorear

EDM01 Asegurar
Procesos para el Gobierno Corporativo de TI

que se fija el Marco EDM04 Asegurar EDM05 Asegurar

EDM02 Asegurar EDM03 Asegurar
de Gobierno y su la Optimizacin de la Transparencia a
la Entrega de Valor la Optimizacin de
Mantenimiento los Recursos las partes
los Riesgos
interesadas

Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar el APO03 Administrar APO05 Administrar el APO07 Administrar el
APO02 Administrar APO04 Administrar la APO06 Administrar
Marco de la la Arquitectura Portafolio Recurso Humano
la Estrategia Innovacin el Presupuesto y los
Administracin de TI Corporativa Costos

MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeo y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar la Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos Seguridad
las Relaciones
Servicios

Construir, Adquirir e Implementar

BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definicin de la Identificacin y Habilitacin del Aceptacin de
Disponibilidad y Cambios
Proyectos Requerimientos Construccin de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Conocimiento los Activos Configuracin

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar la DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

 Administracin de Riesgos en

COBIT 5 (cont.)
Todas las actividades de la empresa tienen una
exposicin de riesgos asociados derivados de las
amenazas ambientales que aprovechan las
vulnerabilidades habilitador
EDM03 Asegurar optimizacin del riesgo
asegura que el enfoque de riesgo de los terceros
interesado este enfocado a como sern tratados los
riesgos que enfrenta la empresa.
APO12 Gestin de Riesgo proporciona a las
empresas la gestin de riesgos (ERM) las
diposiciones que aseguren que la direccin dada por
los terceros interesados es seguida por la empresa.
Todos los dems procesos incluye prcticas y
actividades que son diseadas para tratar el riesgo
relacionado (evitar, reducir / mitigar / controlar/
compartir / transferir / aceptar).
Administracin de Riesgos en
COBIT
Adems de5
las(cont.)
actividades, COBIT 5 sugiere las
responsabilidades, funciones y responsabilidades de las
empresas y el gobierno / administracin estructuras (tablas
RACI) para cada proceso. Estos incluyen roles para
riesgos relacionados.
Align, Plan and Organise

Source: COBIT 5: Enabling Processes, page 108. 2012 ISACA All rights reserved.
Cumplimiento en COBIT 5
El dominio de la gestin Monitorear, Evaluar y
valorar contiene un proceso de cumplimiento
enfocado: MEA03 supervisar, evaluar y
evaluar el cumplimiento de los requisitos
externos.
Descripcin del proceso
Evaluar que los procesos de TI y procesos de
negocios apoyados por TI cumplen con las leyes,
regulaciones y requerimientos contractuales.
Conseguir garantas de que los requisitos se han
identificado y se cumplan, e integrar el
cumplimiento de TI con el cumplimiento general
de la empresa.
Proceso de propsito de declaracin
Asegrese de que la empresa cumple con todos
Cumplimiento en COBIT 5 (cont.)
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

EDM01 Asegurar
que se fija el Marco EDM04 Asegurar EDM05 Asegurar
EDM02 Asegurar EDM03 Asegurar
de Gobierno y su la Optimizacin de la Transparencia a
la Entrega de Valor la Optimizacin de
Mantenimiento los Recursos las partes
los Riesgos
interesadas

Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar el APO03 Administrar APO05 Administrar el APO07 Administrar el
APO02 Administrar APO04 Administrar la APO06 Administrar
Marco de la la Arquitectura Portafolio Recurso Humano
la Estrategia Innovacin el Presupuesto y los
Administracin de TI Corporativa Costos

MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeo y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar la Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos Seguridad
las Relaciones
Servicios

Construir, Adquirir e Implementar

BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definicin de la Identificacin y Habilitacin del Aceptacin de
Disponibilidad y Cambios
Proyectos Requerimientos Construccin de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Conocimiento los Activos Configuracin

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar la DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

Cumplimiento en COBIT 5 (cont.)
Cumplimiento legal y regulatorio es una
parte clave de la gestin efectiva de una
empresa, de ah su inclusin en el trmino
GRC y en los objetivos de la empresa
COBIT 5 y la estructura soportante proceso
facilitador (MEA03).
Adicionalmente al MEA03, todas las
actividades de la empresa incluyen las
actividades de control que estn diseados
para asegurar el cumplimiento no slo
externamente impuestas exigencias
legislativas o reglamentarias, sino tambin
con las empresas gobernabilidad
 Cumplimiento en COBIT 5 (cont.)
Adems de las actividades, COBIT 5 sugiere las
responsabilidades, funciones y responsabilidades de las
empresas y el gobierno / administracin estructuras (tablas
RACI) para cada proceso. Estos incluyen una funcin
relacionada con el cumplimiento.

Source: COBIT 5: Enabling Processes, page 213. 2012 ISACA All rights reserved.
Resumen
El marco COBIT 5 incluye la orientacin necesaria para
apoyar los objetivos de GRC de la empresa y actividades
de apoyo:
Actividades de gobierno relacionadas a GEIT (5 procesos)
Procesos de gestin de riesgos y apoyo para la gestin de
riesgos a travs del espacio GEIT
Cumplimiento: un enfoque especfico en las actividades de
cumplimiento en el marco y cmo encajan dentro de la
imagen completa de la empresa
La inclusin de los acuerdos de GRC en el marco de
negocio para GEIT ayuda a las empresas a evitar el
problema principal con soluciones GRC -silos de
actividad!

ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other publication or product.