Scrum i+d. Agile and nanotechnology, research and development
COBIT5-and-GRC_Español
-
Upload
celeste-vargas -
Category
Documents
-
view
217 -
download
0
Transcript of COBIT5-and-GRC_Español
-
7/28/2019 COBIT5-and-GRC_Espaol
1/31
Septiembre 2012
Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara
-
7/28/2019 COBIT5-and-GRC_Espaol
2/31
-
7/28/2019 COBIT5-and-GRC_Espaol
3/31
GRC
GRC:Gobierno, administracin del
riesgo y cumplimiento.Tmino sombrilla, cada vez msutilizado que cubre estas tresreas de actividades de lasempresas.
Estas reas de actividad estnsiendo progresivamente msalineados e integrados paramejorar el rendimiento de la
empresa y la entrega de las
-
7/28/2019 COBIT5-and-GRC_Espaol
4/31
Definiciones GRC*
GRC:GobiernoEl ejercicio de la autoridad,
control, gobierno, acuerdo.
Riesgo (Administracin)Peligro,riesgo de prdida, dao o destruccin (el actoo arte de la gestin, la manera de tratar,dirigir, seguir adelante, o utilizar, con unpropsito, conducta, administracin, direccin,control)
CumplimientoEl acto de cumplimiento,un rendimiento, en cuanto a su deseo,demanda o propuesta; concesin;presentacin
* Diccionario en lnea Webster
-
7/28/2019 COBIT5-and-GRC_Espaol
5/31
Tipos de Gobierno
Existen diferentes tipos degobierno:Gobierno CorporativoGobierno de ProyectosGobierno de Tecnologas de InformacinGobierno AmbientalGobierno Econmico y Financiero
Cada tipo tiene una o ms fuentesde orientacin, cada uno conobjetivos similares pero confrecuencia varan trminos y lastcnicas para su realizacin.
-
7/28/2019 COBIT5-and-GRC_Espaol
6/31
Implementando Gobierno
La integracin de la aplicacinde las actividades de GRC dentrode una empresa requiere un
enfoque sistmico para el eficazlogro de los objetivosempresariales de sus grupos de
inters.Estos enfoques se basan
normalmente en facilitadores de
diversos tipos (por ejemplo, los
-
7/28/2019 COBIT5-and-GRC_Espaol
7/31
Un ejemplo de modelo GRC
Del Red Book GRC de OCEGCapability Model version 2.1*
* Contiene material copiado o derivado de The Red Bookde OCEG en http://www.oceg.org.
http://www.oceg.org/http://www.oceg.org/ -
7/28/2019 COBIT5-and-GRC_Espaol
8/31
Gobierno Corporativo de TI
ISO/IEC 38500: 2008Gobierno Corporativo deTecnologa
de Informacin1.1 AlcanceEste estndar establece los principios rectores para
directores de organizaciones (incluyendo propietarios,miembros del consejo, directores, socios, ejecutivos de
alto nivel, o similar) sobre el uso eficaz, eficiente yaceptable de la tecnologa de la informacin (TI) dentrode sus organizaciones.
Esta norma se aplica a la gestin de los procesos degestin (toma de decisiones) relativas a los servicios de
informacin y comunicacin utilizados por unaorganizacin. Estos procesos pueden ser controlados por
-
7/28/2019 COBIT5-and-GRC_Espaol
9/31
Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008Gobierno Corporativo deTecnologade Informacin
2.1 Principios
2.1.1 Principio 1: Responsabilidad2.1.2 Principio 2: Estrategia
2.1.3 Principio 3: Adquisicin2.1.4 Principio 4: Desempeo2.1.5 Principio 5: Conformidad2.1.6 Principio 6: Comportamiento Humano
-
7/28/2019 COBIT5-and-GRC_Espaol
10/31
Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008Gobierno Corporativo deTecnologa de Informacin
2.2 Modelo
Los administradores debe gobernar las TI a travs detres tareas principales:a) Evaluar el uso actual y futuro de TI.b) Preparacin directa y la aplicacin de planes ypolticas para garantizar que el uso de las TI cumplecon los objetivos de negocio.c) Monitorear la conformidad de las polticas, y eldesempeo contra los planes.
-
7/28/2019 COBIT5-and-GRC_Espaol
11/31
ISACA y COBIT
ISACA promueve activamente lainvestigacin que se traduce en eldesarrollo de productos relevantes ytiles para los profesionales de
Gobierno de TI, riesgo, control,aseguramiento y seguridad.ISACA desarrolla y mantiene el
internacionalmente reconocido marco
de referencia COBIT, ayudar a losprofesionales de TI y lderesempresariales a cumplir con susresponsabilidades de gobierno de TI,mientras que la entrega de valor al
negocio.
-
7/28/2019 COBIT5-and-GRC_Espaol
12/31
-
7/28/2019 COBIT5-and-GRC_Espaol
13/31
Gobierno de TI
COBIT4.0/4.1
Administracin
COBIT3
Control
COBIT2
Un Marco Empresarial de ISACA, en www.isaca.org/cobit
Auditora
COBIT1
COBIT: Gobierno de TI de las
Empresas (GEIT)
2005/720001998
E
volucind
elA
lcan
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
Source: COBIT
5 Introduction Presentation 2012 ISACA
All rights reserved
-
7/28/2019 COBIT5-and-GRC_Espaol
14/31
COBIT 5 en Resumen
COBIT 5 rene a los cincoprincipios que permiten a laempresa de construir una
gobernabilidad efectiva y un marcode gestin basado en un conjuntoholstico de siete facilitadores que
optimiza la informacin y lainversin en tecnologa y el usopara el beneficio de las partes
interesadas.
-
7/28/2019 COBIT5-and-GRC_Espaol
15/31
El marco COBIT 5En pocas palabras, COBIT 5 ayuda a las empresas a
crear valor ptimo de TI mediante el mantenimientode un equilibrio entre la obtencin de beneficios y laoptimizacin de los niveles de riesgo y el uso de losrecursos.
COBIT 5 permite que la informacin y la tecnologarelacionada para ser gobernado y administrado demanera integral para el conjunto de la empresa,teniendo en el pleno de extremo a extremo delnegocio y reas funcionales de responsabilidad,
teniendo en cuenta los intereses relacionados con laTI de grupos de inters internos y externos.
Los principios y los facilitadores de COBIT 5 sonde carcter genrico y til para las empresas detodos los tamaos, ya sea comercial, sin fines delucro o en el sector pblico.
-
7/28/2019 COBIT5-and-GRC_Espaol
16/31
Los Principios de COBIT 5
Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.
Principiosde COBIT 5
1. Satisfacer
lasnecesidadesde las partesinteresadas
2. Cubrir laOrganizacin de
forma integral
3. Aplicar unsolo marcointegrado
4. Habilitarun enfoque
holistico
5. Separar elGobierno de la
Administracin
-
7/28/2019 COBIT5-and-GRC_Espaol
17/31
Habilitadores de COBIT 5
Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.
1. Principios, Polticas y Marcos
2. Procesos 3. EstructurasOrganizacionales
4. Cultura, ticay Comportamiento
5. Informacin6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,Habilidades y
Competencias
RECURSOS
-
7/28/2019 COBIT5-and-GRC_Espaol
18/31
-
7/28/2019 COBIT5-and-GRC_Espaol
19/31
yCOBIT 5Gobierno asegura que los objetivos de la empresa se
logren mediante la evaluacin de las necesidades delas partes interesadas, las condiciones y opciones,estableciendo la direccin a travs de la priorizaciny decisin, y monitoreando el desempeo, elcumplimiento y el progreso contra acordaron direccin
y objetivos (EDM).Administracinplanea, construye, ejecuta y
monitorea actividades alineadas con la direccinestablecida por el rgano de gobierno para alcanzar
los objetivos de la empresa(PBRM).El ejercicio de gobierno y la gestin eficaz en la
prctica requiere el uso adecuado de todos losfacilitadores. El proceso COBIT como modelo dereferencia nos permite enfocar fcilmente sobre las
actividades empresariales relevantes.
-
7/28/2019 COBIT5-and-GRC_Espaol
20/31
Gobierno en COBIT 5 El modelo de referencia COBIT 5 subdivide proceso de
las prcticas relacionadas con la TI y las actividadesde la empresa en dos grandes reas: la gobernanza yla gestin con la administracin dividida en dominiosde los procesos
El dominio GOBIERNO contiene cinco procesos degobierno, dentro de cada proceso, evaluar, dirigir ysupervisar (EDM) Las prcticas se definen.01 Asegurar el marco de gobierno y el mantenimiento de suconfiguracin.
02 Asegurar la entrega beneficios.03 Garantizar la optimizacin de riesgos.
04 Garantizar la optimizacin de recursos.
05 Garantizar la transparencia de los terceros interesados.
Los cuatro dominios de gestin estn en lnea con las
reas de responsabilidad de planear, construir,
-
7/28/2019 COBIT5-and-GRC_Espaol
21/31
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administracin de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y DarSoporte
Monitorear, Evaluar
y Valorar
EDM01 Asegurarque se fija el Marcode Gobierno y su
Mantenimiento
EDM02 Asegurarla Entrega de Valor
EDM03 Asegurarla Optimizacin de
los Riesgos
EDM04 Asegurarla Optimizacin de
los Recursos
EDM05 Asegurarla Transparencia a
las partesinteresadas
APO01 Administrarel Marco de la
Administracin de TI
APO02 Administrarla Estrategia
APO04 Administrarla Innovacin
APO03 Administrarla Arquitectura
Corporativa
APO05 Administrarel Portafolio
APO06 Administrarel Presupuesto y los
Costos
APO07 Administrarel Recurso Humano
APO08 Administrarlas Relaciones
APO09 Administrarlos Contratos de
Servicios
APO11 Administrarla Calidad
APO10 Administrarlos Proveedores
APO12 Administrarlos Riesgos
APO13 Administrarla Seguridad
BAI01 AdministrarProgramas y
Proyectos
BAI02 Administrarla Definicin deRequerimientos
BAI04 Administrar laDisponibilidad y
Capacidad
BAI03 Administrarla Identificacin yConstruccin de
Soluciones
BAI05 Administrar laHabilitacin del
Cambio
BAI06 AdministrarCambios
BAI07 Administrar laAceptacin de
Cambios yTransiciones
BAI08 Administrar elConocimiento
BAI09 Administrarlos Activos
BAI10 Admnistrar laConfiguracin
DSS01 Administrarlas Operaciones
DSS02 Administrarlas Solicitudes deServicios y los
Incidentes
DSS04 Administrar laContinuidad
DSS03 AdministrarProblemas
DSS05 Administrarlos Servicios de
Seguridad
DSS06 Administrarlos Controles en los
Procesos de Negocio
MEA01 Monitorear,Evaluar y Valorar el
Desempeo yCumplimiento
MEA02 Monitorear,Evaluar y Valorar elSistema de Control
Interno
MEA03 Monitorear,Evaluar y Valorar elCumplimiento con
Requisitos Externos
Gobierno en COBIT 5 (cont.)
Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.
m n strac n e esgos en
-
7/28/2019 COBIT5-and-GRC_Espaol
22/31
m n strac n e esgos enCOBIT 5 El dominio de Gobierno cotiene cinco procesos de
gobierno, uno de los cuales se enfoca en el riesgorelacionado con los objetivos de los tercerosinteresados: EDM03 Asegurar la optimizacinde riesgos.
Descripcin de procesos Asegurar que el apetito de riesgo de la empresa y la
tolerancia se entiende, articulado y comunicado, y que elriesgo de valor de la empresa en relacin con el uso delas TI es identificado y gestionado.
Proceso de declaracin de propsito Asegurar que riesgos relacionados con TI de la empresa
no supere la tolerancia al riesgo y el apetito de riesgo, elimpacto de los riesgos de TI de valor de la empresa es
identificado y manejado, y la posibilidad de fallas decumplimiento es mnimo.
Administracin de Riesgos en
-
7/28/2019 COBIT5-and-GRC_Espaol
23/31
Administracin de Riesgos enCOBIT 5 (cont.)
El dominio de Gestin Alinear, Planear yOrganizar contiene un proceso de riesgosrelacionados: APO12 Gestionar el riesgo.
Descripcin del proceso
Continuamente identificar, evaluar y reducir losriesgos relacionados con TI dentro de losniveles de tolerancia establecidos por ladireccin ejecutiva de la empresa.
Proceso de Declaracin de Propsito Integrar la gestin de riesgos empresariales
relacionados con la TI con el ERM en general, yequilibrar los costos y beneficios de la gestin
de riesgos relacionados con TI de la empresa.
-
7/28/2019 COBIT5-and-GRC_Espaol
24/31
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administracin de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y DarSoporte
Monitorear, Evaluar
y Valorar
EDM01 Asegurarque se fija el Marcode Gobierno y su
Mantenimiento
EDM02 Asegurarla Entrega de Valor
EDM03 Asegurarla Optimizacin de
los Riesgos
EDM04 Asegurarla Optimizacin de
los Recursos
EDM05 Asegurarla Transparencia a
las partesinteresadas
APO01 Administrarel Marco de la
Administracin de TI
APO02 Administrarla Estrategia
APO04 Administrarla Innovacin
APO03 Administrarla Arquitectura
Corporativa
APO05 Administrarel Portafolio
APO06 Administrarel Presupuesto y los
Costos
APO07 Administrarel Recurso Humano
APO08 Administrarlas Relaciones
APO09 Administrarlos Contratos de
Servicios
APO11 Administrarla Calidad
APO10 Administrarlos Proveedores
APO12 Administrarlos Riesgos
APO13 Administrarla Seguridad
BAI01 AdministrarProgramas y
Proyectos
BAI02 Administrarla Definicin deRequerimientos
BAI04 Administrar laDisponibilidad y
Capacidad
BAI03 Administrarla Identificacin yConstruccin de
Soluciones
BAI05 Administrar laHabilitacin del
Cambio
BAI06 AdministrarCambios
BAI07 Administrar laAceptacin de
Cambios yTransiciones
BAI08 Administrar elConocimiento
BAI09 Administrarlos Activos
BAI10 Admnistrar laConfiguracin
DSS01 Administrarlas Operaciones
DSS02 Administrarlas Solicitudes deServicios y los
Incidentes
DSS04 Administrar laContinuidad
DSS03 AdministrarProblemas
DSS05 Administrarlos Servicios de
Seguridad
DSS06 Administrarlos Controles en los
Procesos de Negocio
MEA01 Monitorear,Evaluar y Valorar el
Desempeo yCumplimiento
MEA02 Monitorear,Evaluar y Valorar elSistema de Control
Interno
MEA03 Monitorear,Evaluar y Valorar elCumplimiento con
Requisitos Externos
COBIT 5 (cont.)
Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.
-
7/28/2019 COBIT5-and-GRC_Espaol
25/31
COBIT 5 (cont.)
Todas las actividades de la empresa tienen una
exposicin de riesgos asociados derivados de lasamenazas ambientales que aprovechan lasvulnerabilidades habilitador
EDM03 Asegurar optimizacin del riesgo
asegura que el enfoque de riesgo de los tercerosinteresado este enfocado a como sern tratados losriesgos que enfrenta la empresa.
APO12 Gestin de Riesgo proporciona a lasempresas la gestin de riesgos (ERM) las
diposiciones que aseguren que la direccin dada porlos terceros interesados es seguida por la empresa.
Todos los dems procesos incluye prcticas yactividades que son diseadas para tratar el riesgo
relacionado (evitar, reducir / mitigar / controlar/compartir / transferir / aceptar).
-
7/28/2019 COBIT5-and-GRC_Espaol
26/31
COBIT 5 (cont.) Adems de las actividades, COBIT 5 sugiere las
responsabilidades, funciones y responsabilidades de lasempresas y el gobierno / administracin estructuras (tablasRACI) para cada proceso. Estos incluyen roles parariesgos relacionados.
Source: COBIT 5: Enabling Processes, page 108. 2012 ISACA All rights reserved.
Align,P
la
nandO
-
7/28/2019 COBIT5-and-GRC_Espaol
27/31
Cumplimiento en COBIT 5 El dominio de la gestin Monitorear, Evaluar y
valorar contiene un proceso de cumplimientoenfocado: MEA03 supervisar, evaluar yevaluar el cumplimiento de los requisitosexternos.
Descripcin del proceso Evaluar que los procesos de TI y procesos de
negocios apoyados por TI cumplen con las leyes,regulaciones y requerimientos contractuales.
Conseguir garantas de que los requisitos se hanidentificado y se cumplan, e integrar elcumplimiento de TI con el cumplimiento generalde la empresa.
Proceso de propsito de declaracin
Ase rese de ue la em resa cum le con todos
-
7/28/2019 COBIT5-and-GRC_Espaol
28/31
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administracin de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y DarSoporte
Monitorear, Evaluar
y Valorar
EDM01 Asegurarque se fija el Marcode Gobierno y su
Mantenimiento
EDM02 Asegurarla Entrega de Valor
EDM03 Asegurarla Optimizacin de
los Riesgos
EDM04 Asegurarla Optimizacin de
los Recursos
EDM05 Asegurarla Transparencia a
las partesinteresadas
APO01 Administrarel Marco de la
Administracin de TI
APO02 Administrarla Estrategia
APO04 Administrarla Innovacin
APO03 Administrarla Arquitectura
Corporativa
APO05 Administrarel Portafolio
APO06 Administrarel Presupuesto y los
Costos
APO07 Administrarel Recurso Humano
APO08 Administrarlas Relaciones
APO09 Administrarlos Contratos de
Servicios
APO11 Administrarla Calidad
APO10 Administrarlos Proveedores
APO12 Administrarlos Riesgos
APO13 Administrarla Seguridad
BAI01 AdministrarProgramas y
Proyectos
BAI02 Administrarla Definicin deRequerimientos
BAI04 Administrar laDisponibilidad y
Capacidad
BAI03 Administrarla Identificacin yConstruccin de
Soluciones
BAI05 Administrar laHabilitacin del
Cambio
BAI06 AdministrarCambios
BAI07 Administrar laAceptacin de
Cambios yTransiciones
BAI08 Administrar elConocimiento
BAI09 Administrarlos Activos
BAI10 Admnistrar laConfiguracin
DSS01 Administrarlas Operaciones
DSS02 Administrarlas Solicitudes deServicios y los
Incidentes
DSS04 Administrar laContinuidad
DSS03 AdministrarProblemas
DSS05 Administrarlos Servicios de
Seguridad
DSS06 Administrarlos Controles en los
Procesos de Negocio
MEA01 Monitorear,Evaluar y Valorar el
Desempeo yCumplimiento
MEA02 Monitorear,Evaluar y Valorar elSistema de Control
Interno
MEA03 Monitorear,Evaluar y Valorar elCumplimiento con
Requisitos Externos
Cumplimiento en COBIT 5 (cont.)
Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.
-
7/28/2019 COBIT5-and-GRC_Espaol
29/31
Cumplimiento en COBIT 5 (cont.)
Cumplimiento legal y regulatorio es unaparte clave de la gestin efectiva de unaempresa, de ah su inclusin en el trminoGRC y en los objetivos de la empresa
COBIT 5 y la estructura soportante procesofacilitador (MEA03).
Adicionalmente al MEA03, todas lasactividades de la empresa incluyen las
actividades de control que estn diseadospara asegurar el cumplimiento no sloexternamente impuestas exigenciaslegislativas o reglamentarias, sino tambincon las em resas obernabilidad
-
7/28/2019 COBIT5-and-GRC_Espaol
30/31
Cumplimiento en COBIT 5 (cont.) Adems de las actividades, COBIT 5 sugiere las
responsabilidades, funciones y responsabilidades de lasempresas y el gobierno / administracin estructuras (tablasRACI) para cada proceso. Estos incluyen una funcinrelacionada con el cumplimiento.
Source: COBIT 5: Enabling Processes, page 213. 2012 ISACA All rights reserved.
-
7/28/2019 COBIT5-and-GRC_Espaol
31/31
Resumen El marco COBIT 5 incluye la orientacin necesaria para
apoyar los objetivos de GRC de la empresa y actividadesde apoyo: Actividades de gobierno relacionadas a GEIT (5 procesos)
Procesos de gestin de riesgos y apoyo para la gestin de
riesgos a travs del espacio GEIT Cumplimiento: un enfoque especfico en las actividades de
cumplimiento en el marco y cmo encajan dentro de laimagen completa de la empresa
La inclusin de los acuerdos de GRC en el marco denegocio para GEIT ayuda a las empresas a evitar elproblema principal con soluciones GRC -silos deactividad!