COBIT 5.0 y GRC

31
Septiembre 2012 Traducción al Español Cortesía de ISACA Capítulo de Guadalajara

description

Como se relaciona el Cobit versión 5.0 y el GRC

Transcript of COBIT 5.0 y GRC

Septiembre 2012

Traducción al Español Cortesía de ISACA Capítulo de Guadalajara

GRCGRC:Gobierno, administración del riesgo y

cumplimiento.Témino sombrilla, cada vez más

utilizado que cubre estas tres áreas de actividades de las empresas.

Estas áreas de actividad están siendo progresivamente más alineados e integrados para mejorar el rendimiento de la empresa y la entrega de las necesidades de las partes interesadas.

Definiciones GRC*GRC:Gobierno—El ejercicio de la autoridad, control,

gobierno, acuerdo.

Riesgo (Administración)—Peligro, riesgo de pérdida, daño o destrucción (el acto o arte de la gestión, la manera de tratar, dirigir, seguir adelante, o utilizar, con un propósito, conducta, administración, dirección, control)

Cumplimiento—El acto de cumplimiento, un rendimiento, en cuanto a su deseo, demanda o propuesta; concesión; presentación

* Diccionario en línea Webster

Tipos de GobiernoExisten diferentes tipos de gobierno:

Gobierno Corporativo Gobierno de Proyectos Gobierno de Tecnologías de Información Gobierno Ambiental Gobierno Económico y Financiero

Cada tipo tiene una o más fuentes de orientación, cada uno con objetivos similares pero con frecuencia varían términos y las técnicas para su realización.

Implementando Gobierno

La integración de la aplicación de las actividades de GRC dentro de una empresa requiere un enfoque sistémico para el eficaz logro de los objetivos empresariales de sus grupos de interés.

Estos enfoques se basan normalmente en facilitadores de diversos tipos (por ejemplo, los principios, las políticas, modelos, marcos, estructuras organizacionales).

Un ejemplo de modelo GRCDel Red Book GRC de OCEG Capability

Model version 2.1*

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.

Gobierno Corporativo de TI ISO/IEC 38500: 2008

Gobierno Corporativo de Tecnología de Información

1.1 Alcance Este estándar establece los principios rectores para directores de

organizaciones (incluyendo propietarios, miembros del consejo, directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) dentro de sus organizaciones.

Esta norma se aplica a la gestión de los procesos de gestión (toma de decisiones) relativas a los servicios de información y comunicación utilizados por una organización. Estos procesos pueden ser controlados por especialistas en TI dentro de la organización o de los proveedores de servicios externos, o por unidades de negocio dentro de la organización.

Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008Gobierno Corporativo de Tecnología de Información

2.1 Principios

2.1.1 Principio 1: Responsabilidad2.1.2 Principio 2: Estrategia2.1.3 Principio 3: Adquisición2.1.4 Principio 4: Desempeño2.1.5 Principio 5: Conformidad2.1.6 Principio 6: Comportamiento Humano

Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008Gobierno Corporativo de Tecnología de Información

2.2 Modelo

Los administradores debe gobernar las TI a través de tres tareas principales:a) Evaluar el uso actual y futuro de TI.b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso de las TI cumple con los objetivos de negocio.c) Monitorear la conformidad de las políticas, y el desempeño contra los planes.

ISACA y COBIT ISACA promueve activamente la

investigación que se traduce en el desarrollo de productos relevantes y útiles para los profesionales de Gobierno de TI, riesgo, control, aseguramiento y seguridad.

ISACA desarrolla y mantiene el internacionalmente reconocido marco de referencia COBIT, ayudar a los profesionales de TI y líderes empresariales a cumplir con sus responsabilidades de gobierno de TI, mientras que la entrega de valor al negocio.

Gobierno Corporativo de TI

COBIT 5

Gobierno de TI

COBIT4.0/4.1

Administración

COBIT3

Control

COBIT2

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Auditoría

COBIT1

COBIT: Gobierno de TI de las Empresas (GEIT)

2005/720001998

Evol

ució

n de

l Alc

ance

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

Source: COBIT® 5 Introduction Presentation © 2012 ISACA® All rights reserved

COBIT 5 en Resumen

COBIT 5 reúne a los cinco principios que permiten a la empresa de construir una gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete facilitadores que optimiza la información y la inversión en tecnología y el uso para el beneficio de las partes interesadas.

El marco COBIT 5 En pocas palabras, COBIT 5 ayuda a las empresas a crear valor

óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos.

COBIT 5 permite que la información y la tecnología relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos.

Los principios y los facilitadores de COBIT 5 son de carácter genérico y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o en el sector público.

Los Principios de COBIT 5

Source: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.

Principios de COBIT 5

1. Satisfacer las

necesidades de las partes interesadas

2. Cubrir la Organización de

forma integral

3. Aplicar un solo marco integrado

4. Habilitar un enfoque

holistico

5. Separar el Gobierno de la Administración

Habilitadores de COBIT 5

Source: COBIT® 5, figure 12. © 2012 ISACA® All rights reserved.

1. Principios, Políticas y Marcos

2. Procesos 3. Estructuras Organizacionales

4. Cultura, Éticay Comportamiento

5. Información6. Servicios,

Infraestructuray Aplicaciones

7. Personas,Habilidades yCompetencias

RECURSOS

Gobierno (y administración) en COBIT 5 Gobierno asegura que los objetivos de la empresa se logren

mediante la evaluación de las necesidades de las partes interesadas, las condiciones y opciones, estableciendo la dirección a través de la priorización y decisión, y monitoreando el desempeño, el cumplimiento y el progreso contra acordaron dirección y objetivos (EDM).

Administración planea, construye, ejecuta y monitoreaactividades alineadas con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa(PBRM).

El ejercicio de gobierno y la gestión eficaz en la práctica requiere el uso adecuado de todos los facilitadores. El proceso COBIT como modelo de referencia nos permite enfocar fácilmente sobre las actividades empresariales relevantes.

Gobierno en COBIT 5• El modelo de referencia COBIT 5 subdivide proceso de las

prácticas relacionadas con la TI y las actividades de la empresa en dos grandes áreas: la gobernanza y la gestión con la administración dividida en dominios de los procesos

• El dominio GOBIERNO contiene cinco procesos de gobierno, dentro de cada proceso, evaluar, dirigir y supervisar (EDM) Las prácticas se definen.•01 Asegurar el marco de gobierno y el mantenimiento de su configuración.•02 Asegurar la entrega beneficios.•03 Garantizar la optimización de riesgos.•04 Garantizar la optimización de recursos.•05 Garantizar la transparencia de los terceros interesados.

• Los cuatro dominios de gestión están en línea con las áreas de responsabilidad de planear, construir, ejecutar y monitorear (PBRM).

Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

Procesos para la Administración de TI Corporativa

Alinear, Planear y Organizar

Construir, Adquirir e Implementar

Entregar, Servir y Dar Soporte

Monitorear, Evaluary Valorar

EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento

EDM02 Asegurarla Entrega de Valor

EDM03 Asegurarla Optimización de

los Riesgos

EDM04 Asegurarla Optimización de

los Recursos

EDM05 Asegurarla Transparencia a

las partes interesadas

APO01 Administrar el Marco de la

Administración de TI

APO02 Administrarla Estrategia

APO04 Administrar la Innovación

APO03 Administrarla Arquitectura

Corporativa

APO05 Administrar el Portafolio

APO06 Administrarel Presupuesto y los

Costos

APO07 Administrar el Recurso Humano

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de

Servicios

APO11 Administrarla Calidad

APO10 Administrarlos Proveedores

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

BAI01 AdministrarProgramas y

Proyectos

BAI02 Administrarla Definición de Requerimientos

BAI04 Administrar la Disponibilidad y

Capacidad

BAI03 Administrarla Identificación y Construcción de

Soluciones

BAI05 Administrar la Habilitación del

CambioBAI06 Administrar

Cambios

BAI07 Administrar la Aceptación de

Cambios y Transiciones

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuración

DSS01 Administrar las Operaciones

DSS02 Administrar las Solicitudes de

Servicios y los Incidentes

DSS04 Administrar la Continuidad

DSS03 Administrar Problemas

DSS05 Administrar los Servicios de

Seguridad

DSS06 Administrar los Controles en los

Procesos de Negocio

MEA01 Monitorear, Evaluar y Valorar el

Desempeño y Cumplimiento

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control

Interno

MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con

Requisitos Externos

Gobierno en COBIT 5 (cont.)

Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Administración de Riesgos en COBIT 5• El dominio de Gobierno cotiene cinco procesos de gobierno,

uno de los cuales se enfoca en el riesgo relacionado con los objetivos de los terceros interesados: EDM03 Asegurar la optimización de riesgos.• Descripción de procesos• Asegurar que el apetito de riesgo de la empresa y la tolerancia se

entiende, articulado y comunicado, y que el riesgo de valor de la empresa en relación con el uso de las TI es identificado y gestionado.

• Proceso de declaración de propósito• Asegurar que riesgos relacionados con TI de la empresa no supere la

tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos de TI de valor de la empresa es identificado y manejado, y la posibilidad de fallas de cumplimiento es mínimo.

Administración de Riesgos en COBIT 5(cont.)

• El dominio de Gestión Alinear, Planear y Organizar contiene un proceso de riesgos relacionados: APO12 Gestionar el riesgo.• Descripción del proceso• Continuamente identificar, evaluar y reducir los riesgos

relacionados con TI dentro de los niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.

• Proceso de Declaración de Propósito• Integrar la gestión de riesgos empresariales

relacionados con la TI con el ERM en general, y equilibrar los costos y beneficios de la gestión de riesgos relacionados con TI de la empresa.

Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

Procesos para la Administración de TI Corporativa

Alinear, Planear y Organizar

Construir, Adquirir e Implementar

Entregar, Servir y Dar Soporte

Monitorear, Evaluary Valorar

EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento

EDM02 Asegurarla Entrega de Valor

EDM03 Asegurarla Optimización de

los Riesgos

EDM04 Asegurarla Optimización de

los Recursos

EDM05 Asegurarla Transparencia a

las partes interesadas

APO01 Administrar el Marco de la

Administración de TI

APO02 Administrarla Estrategia

APO04 Administrar la Innovación

APO03 Administrarla Arquitectura

Corporativa

APO05 Administrar el Portafolio

APO06 Administrarel Presupuesto y los

Costos

APO07 Administrar el Recurso Humano

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de

Servicios

APO11 Administrarla Calidad

APO10 Administrarlos Proveedores

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

BAI01 AdministrarProgramas y

Proyectos

BAI02 Administrarla Definición de Requerimientos

BAI04 Administrar la Disponibilidad y

Capacidad

BAI03 Administrarla Identificación y Construcción de

Soluciones

BAI05 Administrar la Habilitación del

CambioBAI06 Administrar

Cambios

BAI07 Administrar la Aceptación de

Cambios y Transiciones

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuración

DSS01 Administrar las Operaciones

DSS02 Administrar las Solicitudes de

Servicios y los Incidentes

DSS04 Administrar la Continuidad

DSS03 Administrar Problemas

DSS05 Administrar los Servicios de

Seguridad

DSS06 Administrar los Controles en los

Procesos de Negocio

MEA01 Monitorear, Evaluar y Valorar el

Desempeño y Cumplimiento

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control

Interno

MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con

Requisitos Externos

Administración de Riesgos en COBIT 5(cont.)

Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Administración de Riesgos en COBIT 5(cont.)

• Todas las actividades de la empresa tienen una exposición de riesgos asociados derivados de las amenazas ambientales que aprovechan las vulnerabilidades habilitador• EDM03 Asegurar optimización del riesgo asegura que el

enfoque de riesgo de los terceros interesado este enfocado a como serán tratados los riesgos que enfrenta la empresa.

• APO12 Gestión de Riesgo proporciona a las empresas la gestión de riesgos (ERM) las diposiciones que aseguren que la dirección dada por los terceros interesados es seguida por la empresa.

• Todos los demás procesos incluye prácticas y actividades que son diseñadas para tratar el riesgo relacionado (evitar, reducir / mitigar / controlar/ compartir / transferir / aceptar).

APO12 RACI Chart

Key Management Practice Boar

d

Chie

f Exe

cutiv

e O

ffice

r

Chie

f Fin

anci

al O

ffice

r

Chie

f Ope

ratin

g O

ffice

r

Busi

ness

Exe

cutiv

es

Busi

ness

Pro

cess

Ow

ners

Stra

tegy

Exe

cutiv

e Co

mm

ittee

Stee

ring

(Pro

gram

mes

/Pro

ject

s) C

omm

ittee

Proj

ect M

anag

emen

t Offi

ce

Valu

e M

anag

emen

t Offi

ce

Chie

f Ris

k O

ffice

r

Chie

f Inf

orm

atio

n Se

curit

y O

ffice

r

Arch

itect

ure

Boar

d

Ente

rpris

e Ri

sk C

omm

ittee

Hea

d H

uman

Res

ourc

es

Com

plia

nce

Audi

t

Chie

f Inf

orm

atio

n O

ffice

r

Hea

d Ar

chite

ct

Hea

d D

evel

opm

ent

Hea

d IT

Ope

ratio

ns

Hea

d IT

Adm

inis

trat

ion

Serv

ice

Man

ager

Info

rmat

ion

Secu

rity

Man

ager

Busi

ness

Con

tinui

ty M

anag

er

Priv

acy

Offi

cer

APO12.01 I R R R R I C C A R R R R R R R RCollect data.APO12.02 I R C R C I R R A C C C C C C C CAnalyse risk.APO12.03 I R C A C I R R R C C C C C C C CMaintain a risk profile.APO12.04 I R C R C I C C A C C C C C C C CArticulate risk.APO12.05

I R C A C I C C R C C C C C C C CDefine a risk management action portfolio.APO12.06 I R R R R I C C A R R R R R R R RRespond to risk.

Administración de Riesgos en COBIT 5(cont.)

• Además de las actividades, COBIT 5 sugiere las responsabilidades, funciones y responsabilidades de las empresas y el gobierno / administración estructuras (tablas RACI) para cada proceso. Estos incluyen roles para riesgos relacionados.

Source: COBIT® 5: Enabling Processes, page 108. © 2012 ISACA® All rights reserved.

Alig

n, P

lan

and

Org

anis

e

Cumplimiento en COBIT 5• El dominio de la gestión Monitorear, Evaluar y valorar

contiene un proceso de cumplimiento enfocado: MEA03 supervisar, evaluar y evaluar el cumplimiento de los requisitos externos.

• Descripción del proceso• Evaluar que los procesos de TI y procesos de negocios

apoyados por TI cumplen con las leyes, regulaciones y requerimientos contractuales. Conseguir garantías de que los requisitos se han identificado y se cumplan, e integrar el cumplimiento de TI con el cumplimiento general de la empresa.

• Proceso de propósito de declaración• Asegúrese de que la empresa cumple con todos los

requerimientos externos aplicables.

Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

Procesos para la Administración de TI Corporativa

Alinear, Planear y Organizar

Construir, Adquirir e Implementar

Entregar, Servir y Dar Soporte

Monitorear, Evaluary Valorar

EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento

EDM02 Asegurarla Entrega de Valor

EDM03 Asegurarla Optimización de

los Riesgos

EDM04 Asegurarla Optimización de

los Recursos

EDM05 Asegurarla Transparencia a

las partes interesadas

APO01 Administrar el Marco de la

Administración de TI

APO02 Administrarla Estrategia

APO04 Administrar la Innovación

APO03 Administrarla Arquitectura

Corporativa

APO05 Administrar el Portafolio

APO06 Administrarel Presupuesto y los

Costos

APO07 Administrar el Recurso Humano

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de

Servicios

APO11 Administrarla Calidad

APO10 Administrarlos Proveedores

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

BAI01 AdministrarProgramas y

Proyectos

BAI02 Administrarla Definición de Requerimientos

BAI04 Administrar la Disponibilidad y

Capacidad

BAI03 Administrarla Identificación y Construcción de

Soluciones

BAI05 Administrar la Habilitación del

CambioBAI06 Administrar

Cambios

BAI07 Administrar la Aceptación de

Cambios y Transiciones

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuración

DSS01 Administrar las Operaciones

DSS02 Administrar las Solicitudes de

Servicios y los Incidentes

DSS04 Administrar la Continuidad

DSS03 Administrar Problemas

DSS05 Administrar los Servicios de

Seguridad

DSS06 Administrar los Controles en los

Procesos de Negocio

MEA01 Monitorear, Evaluar y Valorar el

Desempeño y Cumplimiento

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control

Interno

MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con

Requisitos Externos

Cumplimiento en COBIT 5 (cont.)

Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Cumplimiento en COBIT 5 (cont.)

• Cumplimiento legal y regulatorio es una parte clave de la gestión efectiva de una empresa, de ahí su inclusión en el término GRC y en los objetivos de la empresa COBIT 5 y la estructura soportante proceso facilitador (MEA03).

• Adicionalmente al MEA03, todas las actividades de la empresa incluyen las actividades de control que están diseñados para asegurar el cumplimiento no sólo externamente impuestas exigencias legislativas o reglamentarias, sino también con las empresas gobernabilidad determinados principios, políticas y procedimientos.

MEA03 RACI Chart

Key Management Practice Boar

d

Chie

f Exe

cutiv

e O

ffice

r

Chie

f Fin

anci

al O

ffice

r

Chie

f Ope

ratin

g O

ffice

r

Busi

ness

Exe

cutiv

es

Busi

ness

Pro

cess

Ow

ners

Stra

tegy

Exe

cutiv

e Co

mm

ittee

Stee

ring

(Pro

gram

mes

/Pro

ject

s) C

omm

ittee

Proj

ect M

anag

emen

t Offi

ce

Valu

e M

anag

emen

t Offi

ce

Chie

f Ris

k O

ffice

r

Chie

f Inf

orm

atio

n Se

curit

y O

ffice

r

Arch

itect

ure

Boar

d

Ente

rpris

e Ri

sk C

omm

ittee

Hea

d H

uman

Res

ourc

es

Com

plia

nce

Audi

t

Chie

f Inf

orm

atio

n O

ffice

r

Hea

d Ar

chite

ct

Hea

d D

evel

opm

ent

Hea

d IT

Ope

ratio

ns

Hea

d IT

Adm

inis

trat

ion

Serv

ice

Man

ager

Info

rmat

ion

Secu

rity

Man

ager

Busi

ness

Con

tinui

ty M

anag

er

Priv

acy

Offi

cer

MEA03.01 A R R R R RIdentify external compliance requirements.MEA03.02 R R R A R I R R R R I R R R R R R ROptimise response to external requirements.MEA03.03 I R R R R R I I C A I R C C C C C C C RConfirm external compliance.MEA03.04 I I I I C C I C C A R C C C C C C C CObtain assurance of external compliance.

Cumplimiento en COBIT 5 (cont.)

• Además de las actividades, COBIT 5 sugiere las responsabilidades, funciones y responsabilidades de las empresas y el gobierno / administración estructuras (tablas RACI) para cada proceso. Estos incluyen una función relacionada con el cumplimiento.

Source: COBIT® 5: Enabling Processes, page 213. © 2012 ISACA® All rights reserved.

Resumen • El marco COBIT 5 incluye la orientación necesaria para

apoyar los objetivos de GRC de la empresa y actividades de apoyo:• Actividades de gobierno relacionadas a GEIT (5 procesos)• Procesos de gestión de riesgos y apoyo para la gestión de

riesgos a través del espacio GEIT• Cumplimiento: un enfoque específico en las actividades de

cumplimiento en el marco y cómo encajan dentro de la imagen completa de la empresa

• La inclusión de los acuerdos de GRC en el marco de negocio para GEIT ayuda a las empresas a evitar el problema principal con soluciones GRC -silos de actividad!

© ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other publication or product.