Septiembre 2012

Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara

GRC
GRC:
Gobierno, administracin del riesgo y
cumplimiento.
Tmino sombrilla, cada vez ms
utilizado que cubre estas tres reas de
actividades de las empresas.
Estas reas de actividad estn siendo
progresivamente ms alineados e
integrados para mejorar el rendimiento
de la empresa y la entrega de las
necesidades de las partes interesadas.

Definiciones GRC*
GRC:
GobiernoEl ejercicio de la autoridad, control,
gobierno, acuerdo.

Riesgo (Administracin)Peligro, riesgo de

prdida, dao o destruccin (el acto o arte de la
gestin, la manera de tratar, dirigir, seguir adelante, o
utilizar, con un propsito, conducta, administracin,
direccin, control)

CumplimientoEl acto de cumplimiento, un

rendimiento, en cuanto a su deseo, demanda o
propuesta; concesin; presentacin

* Diccionario en lnea Webster

Tipos de Gobierno
Existen diferentes tipos de gobierno:
Gobierno Corporativo
Gobierno de Proyectos
Gobierno de Tecnologas de Informacin
Gobierno Ambiental
Gobierno Econmico y Financiero

Cada tipo tiene una o ms fuentes de

orientacin, cada uno con objetivos
similares pero con frecuencia varan
trminos y las tcnicas para su
realizacin.

Implementando Gobierno
La integracin de la aplicacin de las
actividades de GRC dentro de una
empresa requiere un enfoque sistmico
para el eficaz logro de los objetivos
empresariales de sus grupos de inters.
Estos enfoques se basan normalmente
en facilitadores de diversos tipos (por
ejemplo, los principios, las polticas,
modelos, marcos, estructuras
organizacionales).

Un ejemplo de modelo GRC

Del Red Book GRC de OCEG Capability
Model version 2.1*

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

Gobierno Corporativo de TI
ISO/IEC 38500: 2008

Gobierno Corporativo de Tecnologa

de Informacin
1.1 Alcance
Este estndar establece los principios rectores para directores de

organizaciones (incluyendo propietarios, miembros del consejo,

directores, socios, ejecutivos de alto nivel, o similar) sobre el uso
eficaz, eficiente y aceptable de la tecnologa de la informacin (TI)
dentro de sus organizaciones.
Esta norma se aplica a la gestin de los procesos de gestin (toma de
decisiones) relativas a los servicios de informacin y comunicacin
utilizados por una organizacin. Estos procesos pueden ser
controlados por especialistas en TI dentro de la organizacin o de los
proveedores de servicios externos, o por unidades de negocio dentro
de la organizacin.

Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008

Gobierno Corporativo de Tecnologa

de Informacin
2.1 Principios
2.1.1 Principio 1: Responsabilidad
2.1.2 Principio 2: Estrategia
2.1.3 Principio 3: Adquisicin
2.1.4 Principio 4: Desempeo
2.1.5 Principio 5: Conformidad
2.1.6 Principio 6: Comportamiento Humano

Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008

Gobierno Corporativo de Tecnologa

de Informacin
2.2 Modelo
Los administradores debe gobernar las TI a travs de tres tareas
principales:
a) Evaluar el uso actual y futuro de TI.
b) Preparacin directa y la aplicacin de planes y polticas para
garantizar que el uso de las TI cumple con los objetivos de
negocio.
c) Monitorear la conformidad de las polticas, y el desempeo
contra los planes.

ISACA y COBIT
ISACA promueve activamente la

investigacin que se traduce en el desarrollo

de productos relevantes y tiles para los
profesionales de Gobierno de TI, riesgo,
control, aseguramiento y seguridad.
ISACA desarrolla y mantiene el
internacionalmente reconocido marco de
referencia COBIT, ayudar a los profesionales
de TI y lderes empresariales a cumplir con
sus responsabilidades de gobierno de TI,
mientras que la entrega de valor al negocio.

COBIT: Gobierno de TI de las Empresas (GEIT)

Evolucin del Alcance

Gobierno Corporativo de TI
Gobierno de TI
Val IT 2.0

Administracin

(2008)

Control
Risk IT
(2009)

Auditora
COBIT1

1996

COBIT2

1998

COBIT3

2000

COBIT4.0/4.1 COBIT 5

2005/7

2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

COBIT 5 en Resumen
COBIT 5 rene a los cinco principios que
permiten a la empresa de construir una
gobernabilidad efectiva y un marco de
gestin basado en un conjunto holstico de
siete facilitadores que optimiza la
informacin y la inversin en tecnologa y
el uso para el beneficio de las partes
interesadas.

El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a crear valor

ptimo de TI mediante el mantenimiento de un equilibrio

entre la obtencin de beneficios y la optimizacin de los
niveles de riesgo y el uso de los recursos.
COBIT 5 permite que la informacin y la tecnologa
relacionada para ser gobernado y administrado de manera
integral para el conjunto de la empresa, teniendo en el pleno de
extremo a extremo del negocio y reas funcionales de
responsabilidad, teniendo en cuenta los intereses relacionados
con la TI de grupos de inters internos y externos.
Los principios y los facilitadores de COBIT 5 son de carcter
genrico y til para las empresas de todos los tamaos, ya sea
comercial, sin fines de lucro o en el sector pblico.

Los Principios de COBIT 5

1. Satisfacer
las
necesidades
de las partes
interesadas
5. Separar el
Gobierno de la
Administracin

2. Cubrir la
Organizacin de
forma integral

Principios
de COBIT 5

4. Habilitar
un enfoque
holistico

3. Aplicar un
solo marco
integrado

Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.

Habilitadores de COBIT 5
3. Estructuras
Organizacionales

2. Procesos

4. Cultura, tica
y Comportamiento

1. Principios, Polticas y Marcos

5. Informacin

6. Servicios,
Infraestructura
y Aplicaciones

7. Personas,
Habilidades y
Competencias

RECURSOS

Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.

Gobierno (y administracin) en COBIT 5

Gobierno asegura que los objetivos de la empresa se logren

mediante la evaluacin de las necesidades de las partes

interesadas, las condiciones y opciones, estableciendo la
direccin a travs de la priorizacin y decisin, y
monitoreando el desempeo, el cumplimiento y el progreso
contra acordaron direccin y objetivos (EDM).
Administracin planea, construye, ejecuta y monitorea
actividades alineadas con la direccin establecida por el rgano
de gobierno para alcanzar los objetivos de la empresa(PBRM).
El ejercicio de gobierno y la gestin eficaz en la prctica requiere
el uso adecuado de todos los facilitadores. El proceso COBIT
como modelo de referencia nos permite enfocar fcilmente sobre
las actividades empresariales relevantes.

Gobierno en COBIT 5
El modelo de referencia COBIT 5 subdivide proceso de las
prcticas relacionadas con la TI y las actividades de la empresa
en dos grandes reas: la gobernanza y la gestin con la
administracin dividida en dominios de los procesos
El dominio GOBIERNO contiene cinco procesos de gobierno,
dentro de cada proceso, evaluar, dirigir y supervisar (EDM) Las
prcticas se definen.
01 Asegurar el marco de gobierno y el mantenimiento de su configuracin.
02 Asegurar la entrega beneficios.
03 Garantizar la optimizacin de riesgos.
04 Garantizar la optimizacin de recursos.
05 Garantizar la transparencia de los terceros interesados.

Los cuatro dominios de gestin estn en lnea con las reas de

responsabilidad de planear, construir, ejecutar y monitorear
(PBRM).

Gobierno en COBIT 5 (cont.)

Procesos para el Gobierno Corporativo de TI

Evaluar, Dirijir y Monitorear

EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento

EDM02 Asegurar
la Entrega de Valor

EDM03 Asegurar
la Optimizacin de
los Riesgos

EDM04 Asegurar
la Optimizacin de
los Recursos

EDM05 Asegurar
la Transparencia a
las partes
interesadas

Alinear, Planear y Organizar

APO01 Administrar
el Marco de la
Administracin de TI

APO08 Administrar
las Relaciones

APO02 Administrar
la Estrategia

APO09 Administrar
los Contratos de
Servicios

Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa

APO04 Administrar
la Innovacin

APO10 Administrar
los Proveedores

APO11 Administrar
la Calidad

BAI04 Administrar la
Disponibilidad y
Capacidad

APO05 Administrar
el Portafolio

APO06 Administrar
el Presupuesto y los
Costos

APO12 Administrar
los Riesgos

APO13 Administrar
la Seguridad

BAI05 Administrar la
Habilitacin del
Cambio

BAI06 Administrar
Cambios

APO07 Administrar
el Recurso Humano

MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar
Programas y
Proyectos

BAI02 Administrar
la Definicin de
Requerimientos

BAI03 Administrar
la Identificacin y
Construccin de
Soluciones

BAI08 Administrar el
Conocimiento

BAI09 Administrar
los Activos

BAI10 Admnistrar la
Configuracin

BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones

MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

Entregar, Servir y Dar Soporte

DSS01 Administrar
las Operaciones

DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes

DSS03 Administrar
Problemas

DSS04 Administrar
la Continuidad

DSS05 Administrar
los Servicios de
Seguridad

DSS06 Administrar
los Controles en los
Procesos de Negocio

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos

Administracin de Riesgos en COBIT 5

El dominio de Gobierno cotiene cinco procesos de gobierno,
uno de los cuales se enfoca en el riesgo relacionado con los
objetivos de los terceros interesados: EDM03 Asegurar la
optimizacin de riesgos.
Descripcin de procesos

Asegurar que el apetito de riesgo de la empresa y la tolerancia se

entiende, articulado y comunicado, y que el riesgo de valor de la
empresa en relacin con el uso de las TI es identificado y
gestionado.

Proceso de declaracin de propsito

Asegurar que riesgos relacionados con TI de la empresa no supere la

tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos de
TI de valor de la empresa es identificado y manejado, y la
posibilidad de fallas de cumplimiento es mnimo.

Administracin de Riesgos en COBIT 5

(cont.)

El dominio de Gestin Alinear, Planear y Organizar

contiene un proceso de riesgos relacionados: APO12
Gestionar el riesgo.
Descripcin del proceso
Continuamente identificar, evaluar y reducir los riesgos
relacionados con TI dentro de los niveles de tolerancia
establecidos por la direccin ejecutiva de la empresa.

Proceso de Declaracin de Propsito

Integrar la gestin de riesgos empresariales
relacionados con la TI con el ERM en general, y
equilibrar los costos y beneficios de la gestin de riesgos
relacionados con TI de la empresa.

Administracin de Riesgos en COBIT 5

(cont.)
Procesos para el Gobierno Corporativo de TI

Evaluar, Dirijir y Monitorear

EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento

EDM02 Asegurar
la Entrega de Valor

EDM03 Asegurar
la Optimizacin de
los Riesgos

EDM04 Asegurar
la Optimizacin de
los Recursos

EDM05 Asegurar
la Transparencia a
las partes
interesadas

Alinear, Planear y Organizar

APO01 Administrar
el Marco de la
Administracin de TI

APO08 Administrar
las Relaciones

APO02 Administrar
la Estrategia

APO09 Administrar
los Contratos de
Servicios

Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa

APO04 Administrar
la Innovacin

APO10 Administrar
los Proveedores

APO11 Administrar
la Calidad

BAI04 Administrar la
Disponibilidad y
Capacidad

APO05 Administrar
el Portafolio

APO06 Administrar
el Presupuesto y los
Costos

APO12 Administrar
los Riesgos

APO13 Administrar
la Seguridad

BAI05 Administrar la
Habilitacin del
Cambio

BAI06 Administrar
Cambios

APO07 Administrar
el Recurso Humano

MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar
Programas y
Proyectos

BAI02 Administrar
la Definicin de
Requerimientos

BAI03 Administrar
la Identificacin y
Construccin de
Soluciones

BAI08 Administrar el
Conocimiento

BAI09 Administrar
los Activos

BAI10 Admnistrar la
Configuracin

BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones

MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

Entregar, Servir y Dar Soporte

DSS01 Administrar
las Operaciones

DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes

DSS03 Administrar
Problemas

DSS04 Administrar
la Continuidad

DSS05 Administrar
los Servicios de
Seguridad

DSS06 Administrar
los Controles en los
Procesos de Negocio

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos

Administracin de Riesgos en COBIT 5

(cont.)

Todas las actividades de la empresa tienen una exposicin de

riesgos asociados derivados de las amenazas ambientales
que aprovechan las vulnerabilidades habilitador
EDM03 Asegurar optimizacin del riesgo asegura que el
enfoque de riesgo de los terceros interesado este enfocado a
como sern tratados los riesgos que enfrenta la empresa.
APO12 Gestin de Riesgo proporciona a las empresas la
gestin de riesgos (ERM) las diposiciones que aseguren que la
direccin dada por los terceros interesados es seguida por la
empresa.
Todos los dems procesos incluye prcticas y actividades
que son diseadas para tratar el riesgo relacionado (evitar,
reducir / mitigar / controlar/ compartir / transferir / aceptar).

Administracin de Riesgos en COBIT 5

(cont.)
Adems de las actividades, COBIT 5 sugiere las responsabilidades,
funciones y responsabilidades de las empresas y el gobierno /
administracin estructuras (tablas RACI) para cada proceso. Estos
incluyen roles para riesgos relacionados.

Compliance

Audit

Chief Information Officer

Head Architect

Head Development

Head IT Operations

Head IT Administration

Service Manager

Information Security Manager

Business Continuity Manager

Privacy Officer

Head Human Resources

Enterprise Risk Committee

Architecture Board

Value Management Office

Project Management Office

Chief Information Security Officer

Steering (Programmes/Projects) Committee

Strategy Executive Committee

Business Process Owners

Business Executives

Chief Operating Officer

Chief Financial Officer

Chief Risk Officer

Define a risk management

action portfolio.
APO12.06
Respond to risk.

Chief Executive Officer

Key Management Practice

APO12.01
Collect data.
APO12.02
Analyse risk.
APO12.03
Maintain a risk profile.
APO12.04
Articulate risk.
APO12.05

Board

APO12 RACI Chart

Align, Plan and Organise

Source: COBIT 5: Enabling Processes, page 108. 2012 ISACA All rights reserved.

Cumplimiento en COBIT 5
El dominio de la gestin Monitorear, Evaluar y valorar
contiene un proceso de cumplimiento enfocado: MEA03
supervisar, evaluar y evaluar el cumplimiento de los
requisitos externos.
Descripcin del proceso
Evaluar que los procesos de TI y procesos de negocios
apoyados por TI cumplen con las leyes, regulaciones y
requerimientos contractuales. Conseguir garantas de que
los requisitos se han identificado y se cumplan, e integrar
el cumplimiento de TI con el cumplimiento general de la
empresa.
Proceso de propsito de declaracin
Asegrese de que la empresa cumple con todos los
requerimientos externos aplicables.

Cumplimiento en COBIT 5 (cont.)

Procesos para el Gobierno Corporativo de TI

Evaluar, Dirijir y Monitorear

EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento

EDM02 Asegurar
la Entrega de Valor

EDM03 Asegurar
la Optimizacin de
los Riesgos

EDM04 Asegurar
la Optimizacin de
los Recursos

EDM05 Asegurar
la Transparencia a
las partes
interesadas

Alinear, Planear y Organizar

APO01 Administrar
el Marco de la
Administracin de TI

APO08 Administrar
las Relaciones

APO02 Administrar
la Estrategia

APO09 Administrar
los Contratos de
Servicios

Monitorear, Evaluar
y Valorar
APO03 Administrar
la Arquitectura
Corporativa

APO04 Administrar
la Innovacin

APO10 Administrar
los Proveedores

APO11 Administrar
la Calidad

BAI04 Administrar la
Disponibilidad y
Capacidad

APO05 Administrar
el Portafolio

APO06 Administrar
el Presupuesto y los
Costos

APO12 Administrar
los Riesgos

APO13 Administrar
la Seguridad

BAI05 Administrar la
Habilitacin del
Cambio

BAI06 Administrar
Cambios

APO07 Administrar
el Recurso Humano

MEA01 Monitorear,
Evaluar y Valorar el
Desempeo y
Cumplimiento

Construir, Adquirir e Implementar

BAI01 Administrar
Programas y
Proyectos

BAI02 Administrar
la Definicin de
Requerimientos

BAI03 Administrar
la Identificacin y
Construccin de
Soluciones

BAI08 Administrar el
Conocimiento

BAI09 Administrar
los Activos

BAI10 Admnistrar la
Configuracin

BAI07 Administrar la
Aceptacin de
Cambios y
Transiciones

MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

Entregar, Servir y Dar Soporte

DSS01 Administrar
las Operaciones

DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes

DSS03 Administrar
Problemas

DSS04 Administrar
la Continuidad

DSS05 Administrar
los Servicios de
Seguridad

DSS06 Administrar
los Controles en los
Procesos de Negocio

Procesos para la Administracin de TI Corporativa

Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.

MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos

Cumplimiento en COBIT 5 (cont.)

Cumplimiento legal y regulatorio es una parte
clave de la gestin efectiva de una empresa, de ah
su inclusin en el trmino GRC y en los objetivos
de la empresa COBIT 5 y la estructura soportante
proceso facilitador (MEA03).
Adicionalmente al MEA03, todas las actividades de
la empresa incluyen las actividades de control que
estn diseados para asegurar el cumplimiento no
slo externamente impuestas exigencias
legislativas o reglamentarias, sino tambin con las
empresas gobernabilidad determinados principios,
polticas y procedimientos.

Cumplimiento en COBIT 5 (cont.)

Adems de las actividades, COBIT 5 sugiere las responsabilidades,
funciones y responsabilidades de las empresas y el gobierno /
administracin estructuras (tablas RACI) para cada proceso. Estos
incluyen una funcin relacionada con el cumplimiento.

Business Continuity Manager

Information Security Manager

Enterprise Risk Committee

Chief Information Security Officer

Value Management Office

Privacy Officer

Service Manager

Head IT Administration

Head IT Operations

Head Development

Head Architect

Head Human Resources

Architecture Board

Chief Risk Officer

Chief Information Officer

Audit

Compliance

Project Management Office

Steering (Programmes/Projects) Committee

Business Process Owners

Strategy Executive Committee

Business Executives

Chief Operating Officer

Chief Financial Officer

Key Management Practice

MEA03.01
Identify external
compliance requirements.
MEA03.02
Optimise response to
external requirements.
MEA03.03
Confirm external compliance.
MEA03.04
Obtain assurance of
external compliance.

Chief Executive Officer

MEA03 RACI Chart

Board

Source: COBIT 5: Enabling Processes, page 213. 2012 ISACA All rights reserved.

Resumen
El marco COBIT 5 incluye la orientacin necesaria para
apoyar los objetivos de GRC de la empresa y actividades
de apoyo:
Actividades de gobierno relacionadas a GEIT (5 procesos)
Procesos de gestin de riesgos y apoyo para la gestin de
riesgos a travs del espacio GEIT
Cumplimiento: un enfoque especfico en las actividades de
cumplimiento en el marco y cmo encajan dentro de la
imagen completa de la empresa

La inclusin de los acuerdos de GRC en el marco de

negocio para GEIT ayuda a las empresas a evitar el
problema principal con soluciones GRC -silos de
actividad!
ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other publication or product.