COBIT5-and-GRC_Español

7/28/2019 COBIT5-and-GRC_Espaol

1/31

Septiembre 2012

Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara


2/31


3/31

GRC

GRC:Gobierno, administracin del

riesgo y cumplimiento.Tmino sombrilla, cada vez msutilizado que cubre estas tresreas de actividades de lasempresas.

Estas reas de actividad estnsiendo progresivamente msalineados e integrados paramejorar el rendimiento de la

empresa y la entrega de las


4/31

Definiciones GRC*

GRC:GobiernoEl ejercicio de la autoridad,

control, gobierno, acuerdo.

Riesgo (Administracin)Peligro,riesgo de prdida, dao o destruccin (el actoo arte de la gestin, la manera de tratar,dirigir, seguir adelante, o utilizar, con unpropsito, conducta, administracin, direccin,control)

CumplimientoEl acto de cumplimiento,un rendimiento, en cuanto a su deseo,demanda o propuesta; concesin;presentacin

* Diccionario en lnea Webster


5/31

Tipos de Gobierno

Existen diferentes tipos degobierno:Gobierno CorporativoGobierno de ProyectosGobierno de Tecnologas de InformacinGobierno AmbientalGobierno Econmico y Financiero

Cada tipo tiene una o ms fuentesde orientacin, cada uno conobjetivos similares pero confrecuencia varan trminos y lastcnicas para su realizacin.


6/31

Implementando Gobierno

La integracin de la aplicacinde las actividades de GRC dentrode una empresa requiere un

enfoque sistmico para el eficazlogro de los objetivosempresariales de sus grupos de

inters.Estos enfoques se basan

normalmente en facilitadores de

diversos tipos (por ejemplo, los


7/31

Un ejemplo de modelo GRC

Del Red Book GRC de OCEGCapability Model version 2.1*

* Contiene material copiado o derivado de The Red Bookde OCEG en http://www.oceg.org.
http://www.oceg.org/http://www.oceg.org/


8/31

Gobierno Corporativo de TI

ISO/IEC 38500: 2008Gobierno Corporativo deTecnologa

de Informacin1.1 AlcanceEste estndar establece los principios rectores para

directores de organizaciones (incluyendo propietarios,miembros del consejo, directores, socios, ejecutivos de

alto nivel, o similar) sobre el uso eficaz, eficiente yaceptable de la tecnologa de la informacin (TI) dentrode sus organizaciones.

Esta norma se aplica a la gestin de los procesos degestin (toma de decisiones) relativas a los servicios de

informacin y comunicacin utilizados por unaorganizacin. Estos procesos pueden ser controlados por


9/31

Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008Gobierno Corporativo deTecnologade Informacin

2.1 Principios

2.1.1 Principio 1: Responsabilidad2.1.2 Principio 2: Estrategia

2.1.3 Principio 3: Adquisicin2.1.4 Principio 4: Desempeo2.1.5 Principio 5: Conformidad2.1.6 Principio 6: Comportamiento Humano


10/31

Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008Gobierno Corporativo deTecnologa de Informacin

2.2 Modelo

Los administradores debe gobernar las TI a travs detres tareas principales:a) Evaluar el uso actual y futuro de TI.b) Preparacin directa y la aplicacin de planes ypolticas para garantizar que el uso de las TI cumplecon los objetivos de negocio.c) Monitorear la conformidad de las polticas, y eldesempeo contra los planes.


11/31

ISACA y COBIT

ISACA promueve activamente lainvestigacin que se traduce en eldesarrollo de productos relevantes ytiles para los profesionales de

Gobierno de TI, riesgo, control,aseguramiento y seguridad.ISACA desarrolla y mantiene el

internacionalmente reconocido marco

de referencia COBIT, ayudar a losprofesionales de TI y lderesempresariales a cumplir con susresponsabilidades de gobierno de TI,mientras que la entrega de valor al

negocio.


12/31


13/31

Gobierno de TI

COBIT4.0/4.1

Administracin

COBIT3

Control

COBIT2

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Auditora

COBIT1

COBIT: Gobierno de TI de las

Empresas (GEIT)

2005/720001998

E

volucind

elA

lcan

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

Source: COBIT

5 Introduction Presentation 2012 ISACA

All rights reserved


14/31

COBIT 5 en Resumen

COBIT 5 rene a los cincoprincipios que permiten a laempresa de construir una

gobernabilidad efectiva y un marcode gestin basado en un conjuntoholstico de siete facilitadores que

optimiza la informacin y lainversin en tecnologa y el usopara el beneficio de las partes

interesadas.


15/31

El marco COBIT 5En pocas palabras, COBIT 5 ayuda a las empresas a

crear valor ptimo de TI mediante el mantenimientode un equilibrio entre la obtencin de beneficios y laoptimizacin de los niveles de riesgo y el uso de losrecursos.

COBIT 5 permite que la informacin y la tecnologarelacionada para ser gobernado y administrado demanera integral para el conjunto de la empresa,teniendo en el pleno de extremo a extremo delnegocio y reas funcionales de responsabilidad,

teniendo en cuenta los intereses relacionados con laTI de grupos de inters internos y externos.

Los principios y los facilitadores de COBIT 5 sonde carcter genrico y til para las empresas detodos los tamaos, ya sea comercial, sin fines delucro o en el sector pblico.


16/31

Los Principios de COBIT 5

Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.

Principiosde COBIT 5

1. Satisfacer

lasnecesidadesde las partesinteresadas

2. Cubrir laOrganizacin de

forma integral

3. Aplicar unsolo marcointegrado

4. Habilitarun enfoque

holistico

5. Separar elGobierno de la

Administracin


17/31

Habilitadores de COBIT 5


1. Principios, Polticas y Marcos

2. Procesos 3. EstructurasOrganizacionales

4. Cultura, ticay Comportamiento

5. Informacin6. Servicios,

Infraestructura

y Aplicaciones

7. Personas,Habilidades y

Competencias

RECURSOS


18/31


19/31

yCOBIT 5Gobierno asegura que los objetivos de la empresa se

logren mediante la evaluacin de las necesidades delas partes interesadas, las condiciones y opciones,estableciendo la direccin a travs de la priorizaciny decisin, y monitoreando el desempeo, elcumplimiento y el progreso contra acordaron direccin

y objetivos (EDM).Administracinplanea, construye, ejecuta y

monitorea actividades alineadas con la direccinestablecida por el rgano de gobierno para alcanzar

los objetivos de la empresa(PBRM).El ejercicio de gobierno y la gestin eficaz en la

prctica requiere el uso adecuado de todos losfacilitadores. El proceso COBIT como modelo dereferencia nos permite enfocar fcilmente sobre las

actividades empresariales relevantes.


20/31

Gobierno en COBIT 5 El modelo de referencia COBIT 5 subdivide proceso de

las prcticas relacionadas con la TI y las actividadesde la empresa en dos grandes reas: la gobernanza yla gestin con la administracin dividida en dominiosde los procesos

El dominio GOBIERNO contiene cinco procesos degobierno, dentro de cada proceso, evaluar, dirigir ysupervisar (EDM) Las prcticas se definen.01 Asegurar el marco de gobierno y el mantenimiento de suconfiguracin.

02 Asegurar la entrega beneficios.03 Garantizar la optimizacin de riesgos.

04 Garantizar la optimizacin de recursos.

05 Garantizar la transparencia de los terceros interesados.

Los cuatro dominios de gestin estn en lnea con las

reas de responsabilidad de planear, construir,


21/31

Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

Procesos para la Administracin de TI Corporativa

Alinear, Planear y Organizar

Construir, Adquirir e Implementar

Entregar, Servir y DarSoporte

Monitorear, Evaluar

y Valorar

EDM01 Asegurarque se fija el Marcode Gobierno y su

Mantenimiento

EDM02 Asegurarla Entrega de Valor

EDM03 Asegurarla Optimizacin de

los Riesgos


los Recursos

EDM05 Asegurarla Transparencia a

las partesinteresadas

APO01 Administrarel Marco de la

Administracin de TI

APO02 Administrarla Estrategia

APO04 Administrarla Innovacin

APO03 Administrarla Arquitectura

Corporativa

APO05 Administrarel Portafolio

APO06 Administrarel Presupuesto y los

Costos

APO07 Administrarel Recurso Humano

APO08 Administrarlas Relaciones

APO09 Administrarlos Contratos de

Servicios

APO11 Administrarla Calidad

APO10 Administrarlos Proveedores

APO12 Administrarlos Riesgos

APO13 Administrarla Seguridad

BAI01 AdministrarProgramas y

Proyectos

BAI02 Administrarla Definicin deRequerimientos

BAI04 Administrar laDisponibilidad y

Capacidad

BAI03 Administrarla Identificacin yConstruccin de

Soluciones

BAI05 Administrar laHabilitacin del

Cambio

BAI06 AdministrarCambios

BAI07 Administrar laAceptacin de

Cambios yTransiciones

BAI08 Administrar elConocimiento

BAI09 Administrarlos Activos

BAI10 Admnistrar laConfiguracin

DSS01 Administrarlas Operaciones

DSS02 Administrarlas Solicitudes deServicios y los

Incidentes

DSS04 Administrar laContinuidad

DSS03 AdministrarProblemas

DSS05 Administrarlos Servicios de

Seguridad

DSS06 Administrarlos Controles en los

Procesos de Negocio

MEA01 Monitorear,Evaluar y Valorar el

Desempeo yCumplimiento

MEA02 Monitorear,Evaluar y Valorar elSistema de Control

Interno

MEA03 Monitorear,Evaluar y Valorar elCumplimiento con

Requisitos Externos

Gobierno en COBIT 5 (cont.)


m n strac n e esgos en


22/31

m n strac n e esgos enCOBIT 5 El dominio de Gobierno cotiene cinco procesos de

gobierno, uno de los cuales se enfoca en el riesgorelacionado con los objetivos de los tercerosinteresados: EDM03 Asegurar la optimizacinde riesgos.

Descripcin de procesos Asegurar que el apetito de riesgo de la empresa y la

tolerancia se entiende, articulado y comunicado, y que elriesgo de valor de la empresa en relacin con el uso delas TI es identificado y gestionado.

Proceso de declaracin de propsito Asegurar que riesgos relacionados con TI de la empresa

no supere la tolerancia al riesgo y el apetito de riesgo, elimpacto de los riesgos de TI de valor de la empresa es

identificado y manejado, y la posibilidad de fallas decumplimiento es mnimo.

Administracin de Riesgos en


23/31

Administracin de Riesgos enCOBIT 5 (cont.)

El dominio de Gestin Alinear, Planear yOrganizar contiene un proceso de riesgosrelacionados: APO12 Gestionar el riesgo.

Descripcin del proceso

Continuamente identificar, evaluar y reducir losriesgos relacionados con TI dentro de losniveles de tolerancia establecidos por ladireccin ejecutiva de la empresa.

Proceso de Declaracin de Propsito Integrar la gestin de riesgos empresariales

relacionados con la TI con el ERM en general, yequilibrar los costos y beneficios de la gestin

de riesgos relacionados con TI de la empresa.


24/31






Monitorear, Evaluar

y Valorar


Mantenimiento



los Riesgos


los Recursos




Administracin de TI




Corporativa



Costos




Servicios






Proyectos



Capacidad


Soluciones


Cambio









Incidentes




Seguridad


Procesos de Negocio




Interno


Requisitos Externos

COBIT 5 (cont.)



25/31

COBIT 5 (cont.)

Todas las actividades de la empresa tienen una

exposicin de riesgos asociados derivados de lasamenazas ambientales que aprovechan lasvulnerabilidades habilitador

EDM03 Asegurar optimizacin del riesgo

asegura que el enfoque de riesgo de los tercerosinteresado este enfocado a como sern tratados losriesgos que enfrenta la empresa.

APO12 Gestin de Riesgo proporciona a lasempresas la gestin de riesgos (ERM) las

diposiciones que aseguren que la direccin dada porlos terceros interesados es seguida por la empresa.

Todos los dems procesos incluye prcticas yactividades que son diseadas para tratar el riesgo

relacionado (evitar, reducir / mitigar / controlar/compartir / transferir / aceptar).


26/31

COBIT 5 (cont.) Adems de las actividades, COBIT 5 sugiere las

responsabilidades, funciones y responsabilidades de lasempresas y el gobierno / administracin estructuras (tablasRACI) para cada proceso. Estos incluyen roles parariesgos relacionados.

Source: COBIT 5: Enabling Processes, page 108. 2012 ISACA All rights reserved.

Align,P

la

nandO


27/31

Cumplimiento en COBIT 5 El dominio de la gestin Monitorear, Evaluar y

valorar contiene un proceso de cumplimientoenfocado: MEA03 supervisar, evaluar yevaluar el cumplimiento de los requisitosexternos.

Descripcin del proceso Evaluar que los procesos de TI y procesos de

negocios apoyados por TI cumplen con las leyes,regulaciones y requerimientos contractuales.

Conseguir garantas de que los requisitos se hanidentificado y se cumplan, e integrar elcumplimiento de TI con el cumplimiento generalde la empresa.

Proceso de propsito de declaracin

Ase rese de ue la em resa cum le con todos


28/31






Monitorear, Evaluar

y Valorar


Mantenimiento



los Riesgos


los Recursos




Administracin de TI




Corporativa



Costos




Servicios






Proyectos



Capacidad


Soluciones


Cambio









Incidentes




Seguridad


Procesos de Negocio




Interno


Requisitos Externos

Cumplimiento en COBIT 5 (cont.)



29/31

Cumplimiento en COBIT 5 (cont.)

Cumplimiento legal y regulatorio es unaparte clave de la gestin efectiva de unaempresa, de ah su inclusin en el trminoGRC y en los objetivos de la empresa

COBIT 5 y la estructura soportante procesofacilitador (MEA03).

Adicionalmente al MEA03, todas lasactividades de la empresa incluyen las

actividades de control que estn diseadospara asegurar el cumplimiento no sloexternamente impuestas exigenciaslegislativas o reglamentarias, sino tambincon las em resas obernabilidad


30/31

Cumplimiento en COBIT 5 (cont.) Adems de las actividades, COBIT 5 sugiere las

responsabilidades, funciones y responsabilidades de lasempresas y el gobierno / administracin estructuras (tablasRACI) para cada proceso. Estos incluyen una funcinrelacionada con el cumplimiento.

Source: COBIT 5: Enabling Processes, page 213. 2012 ISACA All rights reserved.


31/31

Resumen El marco COBIT 5 incluye la orientacin necesaria para

apoyar los objetivos de GRC de la empresa y actividadesde apoyo: Actividades de gobierno relacionadas a GEIT (5 procesos)

Procesos de gestin de riesgos y apoyo para la gestin de

riesgos a travs del espacio GEIT Cumplimiento: un enfoque especfico en las actividades de

cumplimiento en el marco y cmo encajan dentro de laimagen completa de la empresa

La inclusin de los acuerdos de GRC en el marco denegocio para GEIT ayuda a las empresas a evitar elproblema principal con soluciones GRC -silos deactividad!

COBIT5-and-GRC_Español

Documents

Transcript of COBIT5-and-GRC_Español