Septiembre 2012

Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara

GRC
GRC:
Gobierno, administracin del riesgo y
cumplimiento.
Tmino sombrilla, cada vez ms
utilizado que cubre estas tres reas de
actividades de las empresas.
Estas reas de actividad estn siendo
progresivamente ms alineados e
integrados para mejorar el rendimiento
de la empresa y la entrega de las
necesidades de las partes interesadas.
Definiciones GRC*
GRC:
GobiernoEl ejercicio de la autoridad, control,
gobierno, acuerdo.
Riesgo (Administracin)Peligro, riesgo de
prdida, dao o destruccin (el acto o arte de la
gestin, la manera de tratar, dirigir, seguir adelante, o
utilizar, con un propsito, conducta, administracin,
direccin, control)
CumplimientoEl acto de cumplimiento, un
rendimiento, en cuanto a su deseo, demanda o
propuesta; concesin; presentacin
* Diccionario en lnea Webster
Tipos de Gobierno
Existen diferentes tipos de gobierno:
Gobierno Corporativo
Gobierno de Proyectos
Gobierno de Tecnologas de Informacin
Gobierno Ambiental
Gobierno Econmico y Financiero
Cada tipo tiene una o ms fuentes de
orientacin, cada uno con objetivos
similares pero con frecuencia varan
trminos y las tcnicas para su realizacin.
Implementando Gobierno
La integracin de la aplicacin de las
actividades de GRC dentro de una empresa
requiere un enfoque sistmico para el eficaz
logro de los objetivos empresariales de sus
grupos de inters.
Estos enfoques se basan normalmente en
facilitadores de diversos tipos (por ejemplo,
los principios, las polticas, modelos,
marcos, estructuras organizacionales).
 Un ejemplo de modelo GRC
Del Red Book GRC de OCEG Capability
Model version 2.1*

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

Gobierno Corporativo de TI
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnologa
de Informacin
1.1 Alcance
Este estndar establece los principios rectores para directores de
organizaciones (incluyendo propietarios, miembros del consejo,
directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz,
eficiente y aceptable de la tecnologa de la informacin (TI) dentro de
sus organizaciones.
Esta norma se aplica a la gestin de los procesos de gestin (toma de
decisiones) relativas a los servicios de informacin y comunicacin
utilizados por una organizacin. Estos procesos pueden ser controlados
por especialistas en TI dentro de la organizacin o de los proveedores de
servicios externos, o por unidades de negocio dentro de la organizacin.
Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnologa
de Informacin
2.1 Principios

2.1.1 Principio 1: Responsabilidad

2.1.2 Principio 2: Estrategia
2.1.3 Principio 3: Adquisicin
2.1.4 Principio 4: Desempeo
2.1.5 Principio 5: Conformidad
2.1.6 Principio 6: Comportamiento Humano
Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnologa
de Informacin
2.2 Modelo

Los administradores debe gobernar las TI a travs de tres tareas

principales:
a) Evaluar el uso actual y futuro de TI.
b) Preparacin directa y la aplicacin de planes y polticas para
garantizar que el uso de las TI cumple con los objetivos de
negocio.
c) Monitorear la conformidad de las polticas, y el desempeo
contra los planes.
ISACA y COBIT
ISACA promueve activamente la
investigacin que se traduce en el desarrollo
de productos relevantes y tiles para los
profesionales de Gobierno de TI, riesgo,
control, aseguramiento y seguridad.
ISACA desarrolla y mantiene el
internacionalmente reconocido marco de
referencia COBIT, ayudar a los profesionales
de TI y lderes empresariales a cumplir con
sus responsabilidades de gobierno de TI,
mientras que la entrega de valor al negocio.
COBIT: Gobierno de TI de las Empresas (GEIT)
Evolucin del Alcance

Gobierno de TI

Val IT 2.0
Administracin (2008)

Control
Risk IT
(2009)
Auditora

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1

1996 1998 2000 2005/7 2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

COBIT 5 en Resumen
COBIT 5 rene a los cinco principios que
permiten a la empresa de construir una
gobernabilidad efectiva y un marco de
gestin basado en un conjunto holstico de
siete facilitadores que optimiza la
informacin y la inversin en tecnologa y
el uso para el beneficio de las partes
interesadas.
El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a crear valor
ptimo de TI mediante el mantenimiento de un equilibrio
entre la obtencin de beneficios y la optimizacin de los
niveles de riesgo y el uso de los recursos.
COBIT 5 permite que la informacin y la tecnologa
relacionada para ser gobernado y administrado de manera
integral para el conjunto de la empresa, teniendo en el pleno de
extremo a extremo del negocio y reas funcionales de
responsabilidad, teniendo en cuenta los intereses relacionados
con la TI de grupos de inters internos y externos.
Los principios y los facilitadores de COBIT 5 son de carcter
genrico y til para las empresas de todos los tamaos, ya sea
comercial, sin fines de lucro o en el sector pblico.
Los Principios de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas

5. Separar el 2. Cubrir la
Gobierno de la Organizacin de
Administracin forma integral

Principios
de COBIT 5

4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado

Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.

Habilitadores de COBIT 5

2. Procesos 3. Estructuras 4. Cultura, tica

Organizacionales y Comportamiento

1. Principios, Polticas y Marcos

6. Servicios, 7. Personas,
5. Informacin Infraestructura Habilidades y
y Aplicaciones Competencias

RECURSOS

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

Gobierno (y administracin) en COBIT 5
Gobierno asegura que los objetivos de la empresa se logren
mediante la evaluacin de las necesidades de las partes
interesadas, las condiciones y opciones, estableciendo la
direccin a travs de la priorizacin y decisin, y
monitoreando el desempeo, el cumplimiento y el progreso
contra acordaron direccin y objetivos (EDM).
Administracin planea, construye, ejecuta y monitorea
actividades alineadas con la direccin establecida por el rgano
de gobierno para alcanzar los objetivos de la empresa(PBRM).
El ejercicio de gobierno y la gestin eficaz en la prctica requiere
el uso adecuado de todos los facilitadores. El proceso COBIT
como modelo de referencia nos permite enfocar fcilmente sobre
las actividades empresariales relevantes.
Gobierno en COBIT 5
El modelo de referencia COBIT 5 subdivide proceso de las
prcticas relacionadas con la TI y las actividades de la empresa
en dos grandes reas: la gobernanza y la gestin con la
administracin dividida en dominios de los procesos
El dominio GOBIERNO contiene cinco procesos de gobierno,
dentro de cada proceso, evaluar, dirigir y supervisar (EDM) Las
prcticas se definen.
01 Asegurar el marco de gobierno y el mantenimiento de su configuracin.
02 Asegurar la entrega beneficios.
03 Garantizar la optimizacin de riesgos.
04 Garantizar la optimizacin de recursos.
05 Garantizar la transparencia de los terceros interesados.
Los cuatro dominios de gestin estn en lnea con las reas de
responsabilidad de planear, construir, ejecutar y monitorear
(PBRM).
Gobierno en COBIT 5 (cont.)
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

EDM01 Asegurar
que se fija el Marco EDM04 Asegurar EDM05 Asegurar
EDM02 Asegurar EDM03 Asegurar
de Gobierno y su la Optimizacin de la Transparencia a
la Entrega de Valor la Optimizacin de
Mantenimiento los Recursos las partes
los Riesgos
interesadas

Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar el APO03 Administrar APO05 Administrar el APO07 Administrar el
APO02 Administrar APO04 Administrar la APO06 Administrar
Marco de la la Arquitectura Portafolio Recurso Humano
la Estrategia Innovacin el Presupuesto y los
Administracin de TI Corporativa Costos

MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeo y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar la Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos Seguridad
las Relaciones
Servicios

Construir, Adquirir e Implementar

BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definicin de la Identificacin y Habilitacin del Aceptacin de
Disponibilidad y Cambios
Proyectos Requerimientos Construccin de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Conocimiento los Activos Configuracin

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar la DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

Administracin de Riesgos en COBIT 5
El dominio de Gobierno cotiene cinco procesos de gobierno,
uno de los cuales se enfoca en el riesgo relacionado con los
objetivos de los terceros interesados: EDM03 Asegurar la
optimizacin de riesgos.
Descripcin de procesos
Asegurar que el apetito de riesgo de la empresa y la tolerancia se
entiende, articulado y comunicado, y que el riesgo de valor de la
empresa en relacin con el uso de las TI es identificado y
gestionado.
Proceso de declaracin de propsito
Asegurar que riesgos relacionados con TI de la empresa no supere la
tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos de
TI de valor de la empresa es identificado y manejado, y la
posibilidad de fallas de cumplimiento es mnimo.
Administracin de Riesgos en COBIT 5
(cont.)

El dominio de Gestin Alinear, Planear y Organizar

contiene un proceso de riesgos relacionados: APO12
Gestionar el riesgo.
Descripcin del proceso
Continuamente identificar, evaluar y reducir los riesgos
relacionados con TI dentro de los niveles de tolerancia
establecidos por la direccin ejecutiva de la empresa.
Proceso de Declaracin de Propsito
Integrar la gestin de riesgos empresariales
relacionados con la TI con el ERM en general, y
equilibrar los costos y beneficios de la gestin de riesgos
relacionados con TI de la empresa.
Administracin de Riesgos en COBIT 5
(cont.)
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

EDM01 Asegurar
que se fija el Marco EDM04 Asegurar EDM05 Asegurar
EDM02 Asegurar EDM03 Asegurar
de Gobierno y su la Optimizacin de la Transparencia a
la Entrega de Valor la Optimizacin de
Mantenimiento los Recursos las partes
los Riesgos
interesadas

Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar el APO03 Administrar APO05 Administrar el APO07 Administrar el
APO02 Administrar APO04 Administrar la APO06 Administrar
Marco de la la Arquitectura Portafolio Recurso Humano
la Estrategia Innovacin el Presupuesto y los
Administracin de TI Corporativa Costos

MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeo y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar la Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos Seguridad
las Relaciones
Servicios

Construir, Adquirir e Implementar

BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definicin de la Identificacin y Habilitacin del Aceptacin de
Disponibilidad y Cambios
Proyectos Requerimientos Construccin de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Conocimiento los Activos Configuracin

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar la DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

 Administracin de Riesgos en COBIT 5
(cont.)
Todas las actividades de la empresa tienen una exposicin de
riesgos asociados derivados de las amenazas ambientales
que aprovechan las vulnerabilidades habilitador
EDM03 Asegurar optimizacin del riesgo asegura que el
enfoque de riesgo de los terceros interesado este enfocado a
como sern tratados los riesgos que enfrenta la empresa.
APO12 Gestin de Riesgo proporciona a las empresas la
gestin de riesgos (ERM) las diposiciones que aseguren que la
direccin dada por los terceros interesados es seguida por la
empresa.
Todos los dems procesos incluye prcticas y actividades
que son diseadas para tratar el riesgo relacionado (evitar,
reducir / mitigar / controlar/ compartir / transferir / aceptar).
Administracin de Riesgos en COBIT 5
(cont.)
Adems de las actividades, COBIT 5 sugiere las responsabilidades,
funciones y responsabilidades de las empresas y el gobierno /
administracin estructuras (tablas RACI) para cada proceso. Estos
incluyen roles para riesgos relacionados.
Align, Plan and Organise

Source: COBIT 5: Enabling Processes, page 108. 2012 ISACA All rights reserved.
Cumplimiento en COBIT 5
El dominio de la gestin Monitorear, Evaluar y valorar
contiene un proceso de cumplimiento enfocado: MEA03
supervisar, evaluar y evaluar el cumplimiento de los
requisitos externos.
Descripcin del proceso
Evaluar que los procesos de TI y procesos de negocios
apoyados por TI cumplen con las leyes, regulaciones y
requerimientos contractuales. Conseguir garantas de que
los requisitos se han identificado y se cumplan, e integrar
el cumplimiento de TI con el cumplimiento general de la
empresa.
Proceso de propsito de declaracin
Asegrese de que la empresa cumple con todos los
requerimientos externos aplicables.
Cumplimiento en COBIT 5 (cont.)
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

EDM01 Asegurar
que se fija el Marco EDM04 Asegurar EDM05 Asegurar
EDM02 Asegurar EDM03 Asegurar
de Gobierno y su la Optimizacin de la Transparencia a
la Entrega de Valor la Optimizacin de
Mantenimiento los Recursos las partes
los Riesgos
interesadas

Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar el APO03 Administrar APO05 Administrar el APO07 Administrar el
APO02 Administrar APO04 Administrar la APO06 Administrar
Marco de la la Arquitectura Portafolio Recurso Humano
la Estrategia Innovacin el Presupuesto y los
Administracin de TI Corporativa Costos

MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeo y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar la Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos Seguridad
las Relaciones
Servicios

Construir, Adquirir e Implementar

BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definicin de la Identificacin y Habilitacin del Aceptacin de
Disponibilidad y Cambios
Proyectos Requerimientos Construccin de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Conocimiento los Activos Configuracin

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar la DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

Cumplimiento en COBIT 5 (cont.)
Cumplimiento legal y regulatorio es una parte clave
de la gestin efectiva de una empresa, de ah su
inclusin en el trmino GRC y en los objetivos de la
empresa COBIT 5 y la estructura soportante
proceso facilitador (MEA03).
Adicionalmente al MEA03, todas las actividades de
la empresa incluyen las actividades de control que
estn diseados para asegurar el cumplimiento no
slo externamente impuestas exigencias
legislativas o reglamentarias, sino tambin con las
empresas gobernabilidad determinados principios,
polticas y procedimientos.
 Cumplimiento en COBIT 5 (cont.)
Adems de las actividades, COBIT 5 sugiere las responsabilidades,
funciones y responsabilidades de las empresas y el gobierno /
administracin estructuras (tablas RACI) para cada proceso. Estos
incluyen una funcin relacionada con el cumplimiento.

Source: COBIT 5: Enabling Processes, page 213. 2012 ISACA All rights reserved.
Resumen
El marco COBIT 5 incluye la orientacin necesaria para
apoyar los objetivos de GRC de la empresa y actividades
de apoyo:
Actividades de gobierno relacionadas a GEIT (5 procesos)
Procesos de gestin de riesgos y apoyo para la gestin de
riesgos a travs del espacio GEIT
Cumplimiento: un enfoque especfico en las actividades de
cumplimiento en el marco y cmo encajan dentro de la
imagen completa de la empresa
La inclusin de los acuerdos de GRC en el marco de
negocio para GEIT ayuda a las empresas a evitar el
problema principal con soluciones GRC -silos de
actividad!

ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other publication or product.