COBIT5 and GRCEspanol

Septiembre 2012
Traducción al Español Cortesía de ISACA Capítulo de Guadalajara

GRC
GRC:
Gobierno, administración del riesgo y
cumplimiento.
Témino sombrilla, cada vez más
utilizado que cubre estas tres áreas de
actividades de las empresas.
Estas áreas de actividad están siendo
progresivamente más alineados e
integrados para mejorar el rendimiento
de la empresa y la entrega de las
necesidades de las partes interesadas.
Definiciones GRC*
GRC:
Gobierno—El ejercicio de la autoridad, control,
gobierno, acuerdo.
 Riesgo (Administración)—Peligro, riesgo de
pérdida, daño o destrucción (el acto o arte de la
gestión, la manera de tratar, dirigir, seguir adelante, o
utilizar, con un propósito, conducta, administración,
dirección, control)
Cumplimiento—El acto de cumplimiento, un
rendimiento, en cuanto a su deseo, demanda o
propuesta; concesión; presentación
* Diccionario en línea Webster
Tipos de Gobierno
Existen diferentes tipos de gobierno:
Gobierno Corporativo
Gobierno de Proyectos
Gobierno de Tecnologías de Información
Gobierno Ambiental
Gobierno Económico y Financiero
Cada tipo tiene una o más fuentes de
orientación, cada uno con objetivos
similares pero con frecuencia varían
términos y las técnicas para su realización.
Implementando Gobierno
La integración de la aplicación de las
actividades de GRC dentro de una empresa
requiere un enfoque sistémico para el
eficaz logro de los objetivos empresariales
de sus grupos de interés.
Estos enfoques se basan normalmente en
facilitadores de diversos tipos (por
ejemplo, los principios, las políticas,
modelos, marcos, estructuras
organizacionales).
Un ejemplo de modelo GRC
Del Red Book GRC de OCEG Capability
Model version 2.1*
* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

Gobierno Corporativo de TI
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnología
de Información
 1.1 Alcance
 Este estándar establece los principios rectores para directores de
organizaciones (incluyendo propietarios, miembros del consejo,
directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz,
eficiente y aceptable de la tecnología de la información (TI) dentro de
sus organizaciones.
 Esta norma se aplica a la gestión de los procesos de gestión (toma de
decisiones) relativas a los servicios de información y comunicación
utilizados por una organización. Estos procesos pueden ser controlados
por especialistas en TI dentro de la organización o de los proveedores de
servicios externos, o por unidades de negocio dentro de la organización.
Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnología
de Información
2.1 Principios
2.1.1 Principio 1: Responsabilidad

2.1.2 Principio 2: Estrategia
2.1.3 Principio 3: Adquisición
2.1.4 Principio 4: Desempeño
2.1.5 Principio 5: Conformidad
2.1.6 Principio 6: Comportamiento Humano
Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnología
de Información
2.2 Modelo
Los administradores debe gobernar las TI a través de tres tareas

principales:
a) Evaluar el uso actual y futuro de TI.
b) Preparación directa y la aplicación de planes y políticas para
garantizar que el uso de las TI cumple con los objetivos de
negocio.
c) Monitorear la conformidad de las políticas, y el desempeño
contra los planes.
ISACA y COBIT
ISACA promueve activamente la
investigación que se traduce en el desarrollo
de productos relevantes y útiles para los
profesionales de Gobierno de TI, riesgo,
control, aseguramiento y seguridad.
ISACA desarrolla y mantiene el
internacionalmente reconocido marco de
referencia COBIT, ayudar a los profesionales
de TI y líderes empresariales a cumplir con
sus responsabilidades de gobierno de TI,
mientras que la entrega de valor al negocio.
COBIT: Gobierno de TI de las Empresas (GEIT)
Evolución del Alcance
Gobierno de TI
Val IT 2.0
Administración (2008)
Control
Risk IT
(2009)
Auditoría
COBIT1 COBIT2 COBIT3 COBIT4.0/4.1
1996 1998 2000 2005/7 2012
Un Marco Empresarial de ISACA, en www.isaca.org/cobit
Source: COBIT® 5 Introduction Presentation © 2012 ISACA® All rights reserved

COBIT 5 en Resumen
COBIT 5 reúne a los cinco principios que
permiten a la empresa de construir una
gobernabilidad efectiva y un marco de
gestión basado en un conjunto holístico de
siete facilitadores que optimiza la
información y la inversión en tecnología
y el uso para el beneficio de las partes
interesadas.
El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a crear valor
óptimo de TI mediante el mantenimiento de un equilibrio
entre la obtención de beneficios y la optimización de los
niveles de riesgo y el uso de los recursos.
COBIT 5 permite que la información y la tecnología
relacionada para ser gobernado y administrado de manera
integral para el conjunto de la empresa, teniendo en el pleno
de extremo a extremo del negocio y áreas funcionales de
responsabilidad, teniendo en cuenta los intereses
relacionados con la TI de grupos de interés internos y
externos.
Los principios y los facilitadores de COBIT 5 son de
carácter genérico y útil para las empresas de todos los
tamaños, ya sea comercial, sin fines de lucro o en el sector
público.
Los Principios de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas
5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral
Principios
de COBIT 5
4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado
Source: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.

Habilitadores de COBIT 5
2. Procesos 3. Estructuras 4. Cultura, Ética

Organizacionales y Comportamiento
1. Principios, Políticas y Marcos
6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades y
y Aplicaciones Competencias
RECURSOS

Gobierno (y administración) en COBIT 5
Gobierno asegura que los objetivos de la empresa se logren
mediante la evaluación de las necesidades de las partes
interesadas, las condiciones y opciones, estableciendo la
dirección a través de la priorización y decisión, y
monitoreando el desempeño, el cumplimiento y el progreso
contra acordaron dirección y objetivos (EDM).
Administración planea, construye, ejecuta y monitorea
actividades alineadas con la dirección establecida por el órgano
de gobierno para alcanzar los objetivos de la empresa(PBRM).
El ejercicio de gobierno y la gestión eficaz en la práctica requiere
el uso adecuado de todos los facilitadores. El proceso COBIT
como modelo de referencia nos permite enfocar fácilmente sobre
las actividades empresariales relevantes.
Gobierno en COBIT 5
• El modelo de referencia COBIT 5 subdivide proceso de las
prácticas relacionadas con la TI y las actividades de la empresa
en dos grandes áreas: la gobernanza y la gestión con la
administración dividida en dominios de los procesos
• El dominio GOBIERNO contiene cinco procesos de gobierno,
dentro de cada proceso, evaluar, dirigir y supervisar (EDM) Las
prácticas se definen.
•01 Asegurar el marco de gobierno y el mantenimiento de su configuración.
•02 Asegurar la entrega beneficios.
•03 Garantizar la optimización de riesgos.
•04 Garantizar la optimización de recursos.
•05 Garantizar la transparencia de los terceros interesados.
• Los cuatro dominios de gestión están en línea con las áreas de
responsabilidad de planear, construir, ejecutar y monitorear
(PBRM).
Gobierno en COBIT 5 (cont.)
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
EDM01 Asegurar
que se fija el Marco EDM04 Asegurar EDM05 Asegurar
EDM02 Asegurar EDM03 Asegurar
de Gobierno y su la Optimización de la Transparencia a
la Entrega de Valor la Optimización de
Mantenimiento los Recursos las partes
los Riesgos
interesadas
Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar APO03 Administrar APO05 Administrar APO07 Administrar
APO02 Administrar APO04 Administrar APO06 Administrar
el Marco de la la Arquitectura el Portafolio el Recurso Humano
la Estrategia la Innovación el Presupuesto y los
Administración de TI Corporativa
Costos
MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeño y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos la Seguridad
las Relaciones
Servicios
Construir, Adquirir e Implementar
BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definición de la Identificación y Habilitación del Aceptación de
Disponibilidad y Cambios
Proyectos Requerimientos Construcción de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Sistema de Control
Interno
BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Conocimiento los Activos Configuración
Entregar, Servir y Dar Soporte
DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar la DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos
Procesos para la Administración de TI Corporativa

Administración de Riesgos en COBIT 5
• El dominio de Gobierno cotiene cinco procesos de
gobierno, uno de los cuales se enfoca en el riesgo
relacionado con los objetivos de los terceros interesados:
EDM03 Asegurar la optimización de riesgos.
• Descripción de procesos
• Asegurar que el apetito de riesgo de la empresa y la tolerancia se
entiende, articulado y comunicado, y que el riesgo de valor de la
empresa en relación con el uso de las TI es identificado y
gestionado.
• Proceso de declaración de propósito
• Asegurar que riesgos relacionados con TI de la empresa no supere
la tolerancia al riesgo y el apetito de riesgo, el impacto de los
riesgos de TI de valor de la empresa es identificado y manejado, y
la posibilidad de fallas de cumplimiento es mínimo.
(cont.)
• El dominio de Gestión Alinear, Planear y Organizar

contiene un proceso de riesgos relacionados: APO12
Gestionar el riesgo.
• Descripción del proceso
• Continuamente identificar, evaluar y reducir los riesgos
relacionados con TI dentro de los niveles de tolerancia
establecidos por la dirección ejecutiva de la empresa.
• Proceso de Declaración de Propósito
• Integrar la gestión de riesgos empresariales
relacionados con la TI con el ERM en general, y
equilibrar los costos y beneficios de la gestión de
riesgos relacionados con TI de la empresa.
(cont.)
EDM01 Asegurar
los Riesgos
interesadas

y Valorar
Costos
MEA01 Monitorear,
las Relaciones
Servicios
Capacidad
Sistema de Control
Interno



(cont.)
• Todas las actividades de la empresa tienen una exposición
de riesgos asociados derivados de las amenazas ambientales
que aprovechan las vulnerabilidades habilitador
• EDM03 Asegurar optimización del riesgo asegura que el
enfoque de riesgo de los terceros interesado este enfocado a
como serán tratados los riesgos que enfrenta la empresa.
• APO12 Gestión de Riesgo proporciona a las empresas la
gestión de riesgos (ERM) las diposiciones que aseguren que la
dirección dada por los terceros interesados es seguida por la
empresa.
• Todos los demás procesos incluye prácticas y actividades
que son diseñadas para tratar el riesgo relacionado (evitar,
reducir / mitigar / controlar/ compartir / transferir / aceptar).
(cont.)
• Además de las actividades, COBIT 5 sugiere las responsabilidades,
funciones y responsabilidades de las empresas y el gobierno /
administración estructuras (tablas RACI) para cada proceso. Estos
incluyen roles para riesgos relacionados.
Align, Plan and Organise
Source: COBIT® 5: Enabling Processes, page 108. © 2012 ISACA® All rights reserved.
Cumplimiento en COBIT 5
• El dominio de la gestión Monitorear, Evaluar y valorar
contiene un proceso de cumplimiento enfocado: MEA03
supervisar, evaluar y evaluar el cumplimiento de los
requisitos externos.
• Descripción del proceso
• Evaluar que los procesos de TI y procesos de negocios
apoyados por TI cumplen con las leyes, regulaciones y
requerimientos contractuales. Conseguir garantías de
que los requisitos se han identificado y se cumplan, e
integrar el cumplimiento de TI con el cumplimiento
general de la empresa.
• Proceso de propósito de declaración
• Asegúrese de que la empresa cumple con todos los
requerimientos externos aplicables.
Cumplimiento en COBIT 5 (cont.)
EDM01 Asegurar
los Riesgos
interesadas

y Valorar
Costos
MEA01 Monitorear,
las Relaciones
Servicios
Capacidad
Sistema de Control
Interno



• Cumplimiento legal y regulatorio es una parte
clave de la gestión efectiva de una empresa, de ahí
su inclusión en el término GRC y en los objetivos
de la empresa COBIT 5 y la estructura soportante
proceso facilitador (MEA03).
• Adicionalmente al MEA03, todas las actividades
de la empresa incluyen las actividades de control
que están diseñados para asegurar el
cumplimiento no sólo externamente impuestas
exigencias legislativas o reglamentarias, sino
también con las empresas gobernabilidad
determinados principios, políticas y
procedimientos.
• Además de las actividades, COBIT 5 sugiere las responsabilidades,
funciones y responsabilidades de las empresas y el gobierno /
administración estructuras (tablas RACI) para cada proceso. Estos
incluyen una función relacionada con el cumplimiento.
Source: COBIT® 5: Enabling Processes, page 213. © 2012 ISACA® All rights reserved.
Resumen
• El marco COBIT 5 incluye la orientación necesaria para
apoyar los objetivos de GRC de la empresa y actividades
de apoyo:
• Actividades de gobierno relacionadas a GEIT (5 procesos)
• Procesos de gestión de riesgos y apoyo para la gestión de
riesgos a través del espacio GEIT
• Cumplimiento: un enfoque específico en las actividades de
cumplimiento en el marco y cómo encajan dentro de la
imagen completa de la empresa
• La inclusión de los acuerdos de GRC en el marco de
negocio para GEIT ayuda a las empresas a evitar el
problema principal con soluciones GRC -silos de
actividad!
© ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other publication or product.

COBIT5 and GRCEspanol

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COBIT5 and GRCEspanol

Cargado por

Copyright:

Formatos disponibles

Septiembre 2012

Traducción al Español Cortesía de ISACA Capítulo de Guadalajara

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

2.1.1 Principio 1: Responsabilidad

Los administradores debe gobernar las TI a través de tres tareas

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1

1996 1998 2000 2005/7 2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Source: COBIT® 5 Introduction Presentation © 2012 ISACA® All rights reserved

Source: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.

2. Procesos 3. Estructuras 4. Cultura, Ética

1. Principios, Políticas y Marcos

Source: COBIT® 5, figure 12. © 2012 ISACA® All rights reserved.

Alinear, Planear y Organizar Monitorear, Evaluar

Construir, Adquirir e Implementar

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

Procesos para la Administración de TI Corporativa

Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

• El dominio de Gestión Alinear, Planear y Organizar

Alinear, Planear y Organizar Monitorear, Evaluar

Construir, Adquirir e Implementar

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

Procesos para la Administración de TI Corporativa

Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Alinear, Planear y Organizar Monitorear, Evaluar

Construir, Adquirir e Implementar

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

Procesos para la Administración de TI Corporativa

Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

También podría gustarte