Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
en la implementacin de un Modelo de
GRC
ISACA Captulo Monterrey
Presentado por
Qu es GRC
Definido formalmente, GRC es un sistema de
personas, procesos y tecnologa que permite que
una organizacin:
Comprenda y priorice expectativas de Stakeholders
Establezca objetivos congruentes con valores y riesgos
Logre objetivos al tiempo que optimiza el perfil de riesgos y
protege el valor del negocio.
Operar dentro de fronteras legales, contractuales, internas,
sociales y ticas
Proveer informacin relevante, confiable y oportuna a los
stakeholders apropiados y
Permitir la medicin del desempeo y la eficacia del sistema
Definidas por la
Gerencia
Fronteras Obligatorias
Mandatos Externos
Resultados Universales
de un sistema GRC de alto desempeo
Un sistema de GRC de alto desempeo debe generar los siguientes
resultados universales siendo eficaz, eficiente y responsivo.
Organizar y
Supervisar
Monitorear y
Medir
INFORMAR E
INTEGRAR
Responder y
Resolver
Evaluar y
Alinear
Prevenir y
Promover
Detectar y
Discernir
Contenido
Introduccin a GRC
Qu es GRC
El concepto de Desempeo con Principios (Principled Performance)
Otros componentes crticos de GRC
Caractersticas del GRC
Conclusiones
Prevenir y Promover
Promover y motivar la conducta deseable y prevenir eventos y
actividades no deseados utilizando una mezcla de controles e
iniciativas
Cdigos de Conducta
Polticas
Controles Preventivos
Conciencia y Educacin
Incentivos de Capital Humano
Relaciones y Requerimientos de Stakeholders
Financiamiento de Riesgos / Seguros
9
10
Monitorear y Medir
Monitorear, medir y modificar el sistema GRC de forma peridica y
consistente para asegurar que contribuye a los objetivos de
negocio, siendo eficiente, eficaz y responsivo a cambios en el
ambiente
Monitoreo de Contexto
Monitoreo de Desempeo y Evaluacin
Mejora Sistemtica
Aseguramiento
11
Informar Integrar
Capturar, documentar y administrar informacin de GRC para
que fluya de forma eficiente y precisa vertical y
horizontalmente a travs de la empresa extendida y hacia los
Stakeholders externos
Administracin de Informacin y Documentacin
Comunicaciones Internas y Externas
Tecnologa e Infraestructura
12
Gente
Aseguramiento
Gobierno
Admn. de
Riesgos
Conformidad
Control
13
cio
Servi
Plane
ar
Ve
nt
as
ras
Comp
Proyec
tos
Ca
lid
ad
ir
uc
od
Pr
Gobierno
Conformidad
Co
nt
ab
..
R.H.
g
tin
ke
ar
dad M
Seguri
Adm
Admn. de
Riesgos
TI
Ecolo
ga Rel. Pub.
l
ga
e
L
14
15
CobiT Extendido
Los tres Frameworks del ITGI
Administraci
Administracin
del Valor
Administraci
Administracin
de Riesgos
Risk IT
Val IT
Dirige
Eventos
relacionados
con TI
Dirige
Evaluar Riesgos
y
Oportunidades
Actividades
de TI
CobiT
16
CobiT(v4.1)
Framework de Control
Objetivos de Control (controles generales)
Prcticas de Control
Lineamientos Gerenciales
Gua de Aseguramiento
Cobit y Controles de Aplicacin
Val IT (v2.0)
Risk IT (v1.0)
17
IT
Governance
Implement..
Guide
Control
Objetives
Management
Guidelines
Assurance
Guide
Control
Practices
Risk IT
Organizar y
Supervisar
Evaluar y
Alinear
Prevenir y
Promover
Detectar y
Discernir
Responder y
Resolver
Monitorear y
Medir
Cultura y
Contexto
Informar e
Integrar
18
Val IT
CobiT
IT Governance Implementation Guide
de
icin
Med peo
m
Dese
Adm
inis
de R tracin
iesgo
s
Ge
to
n
e o d nera
i
e V ci
am gic
e
alo n
n
i
t
l
a
r
A str
E
Dominios
de
Gobierno
de TI
Qu contiene.
La Ruta hacia el Gobierno de TI
Es una gua para implementar
Gobierno de TI utilizando los
frameworks de CobiT y de Val IT
reas Focales de Gobierno de TI.
Ciclo de Vida del Gobierno de TI
El Ambiente del Gobierno de TI
Los Stakeholders del Gobierno de TI
Administracin
de Recursos
19
20
CobiT
Dominios, Recursos y Criterios
MARCO DE TRABAJO
C O B I T
PO5
PO6
INFORMACION
Eficiencia
Integridad
Efectividad
Cumplimiento
Confiabilidad
Disponibilidad
Confidencialidad
PO7
PO8
PLANEAR
y
ORGANIZAR
MONITOREAR
Y
EVALUAR
RECURSOS
DE
TI
DS1 Definir y administrar niveles de
servicios.
DS2 Administrar servicios de
terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los
sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los
incidentes.
DS9 Administrar la configuracin.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones.
Aplicaciones
Informacin
Infraestructura
Personas
ENTREGAR
Y DAR
SOPORTE
ADQUIRIR
E
IMPLEMENTAR
21
CobiT
Ejecu
tivos
del
CIO
A/R
Actividades
C um
pl
A ud i i miento, R
to ra ,
i
Segu esgo,
ridad
CFO
Due
o Pro
c. Ne
gocio
Direc
cin
Oper
acion
es
Arqu
itecto
Jefe
Direc
cin
Desa
rrollo
Direc
cin
Adm
. TI
PMO
CEO
Func
ione
s
Nego
cio
A/R
A/R
C
C
A/R
A/R
Un diagrama RACI para cada proceso identifica quin es Responsable, Debe Rendir Cuentas, es Consultado, y/o es
Informado
22
CobiT
Management Guidelines: Indicadores
Define Metas
Comprender
requerimientos,
vulnerabilidades y
amenazas de
seguridad
Meta de Proceso
Detectar y resolver
accesos no
autorizados a
informacin,
aplicaciones e
infraestructura
Meta de TI
Asegurar que los
servicios de TI
pueden resistir y
recobrarse de
ataques
Mide Logros
Mtrica de Proceso
Mtrica de TI
Meta de Negocio
Mantener la
reputacin y
liderazgo de la
empresa
es medido mediante
Nmero de
incidentes que
provocan
situaciones
pblicas
embarazosas
Mtrica de Negocio
KGI
KGI
Dirige Desempeo
23
KGI
Mejora y realinea
Meta de Actividad
CobiT
Modelos de Madurez y Benchmarking
Los Modelos de Madurez proveen una escala para medir comparativamente las prcticas de
la compaa contra los estndares y directrices de la industria. Un modelo de madurez es
una medida que le permite a la organizacin calificar su madurez para un proceso especfico
desde no existente (0) hasta optimizado (5).
No existente
Inicial
Repetible
2
Definido
3
Administrado
Optimizado
5
24
CobiT
Assurance Guidelines / Ruta de Aseguramiento
Planes de
aseguramiento de TI
Planeacin
Alcance detallado y
objetivos
Dimensionamiento
Refinar el
alcance de
objetivos de
control clave
para el
objeto de
Aseguram.
de TI
Probar la
efectividad
de diseo
del control
de los
objetivos de
control
clave.
Probar los
productos de
los objetivos
de control
clave
Documentar el
impacto de las
debilidades de
control.
Desarrollar y
comunicar
conclusiones
generales y
sugerencias.
25
Conclusin de
Aseguramiento
Ejecucin
Refinar el
entendi_
miento del
Objeto de
Aseguram. de
TI
CobiT
Assurance Guidelines / Ruta de Aseguramiento
Declaracin de Valor
Declaracin de Riesgo
26
CobiT
Assurance Guidelines / Controles Generales VS Controles de Aplicacin
Las guas de aseguramiento diferencian entre
controles Generales y Controles de Aplicacin
Controles Generales de TI
Planeacin y Organizacin
Requerimientos
Funcionales
Requerimientos
de control
Adquisicin e
Implementacin
Entrega yy
Entrega
Soporte
soporte
Servicios
Automatizados
Monitoreo y Evaluacin
Controles de Aplicacin
27
28
Risk IT
Los Principios de Risk IT
29
IT Risk
Valor de Negocio
Falla en
Generar
Genera
Pierde
Preserva
Valor de Negocio
30
IT Risk
Framework (Dominios y Procesos)
Risk IT Framework
Gobierno de Riesgos
2
Integrar
con ERM
1
Establecer
una visi
visin
com
comn del
Riesgo
2
Administrar
Riesgos
1
Articular
Riesgos
3
Reaccionar
ante
eventos
Responder a Riesgos
3
Tomar
decisiones
conscientes
del Riesgo
Fundamento
de Riesgos
en TI
Comunicacin
2
Analizar
Riesgos
1
Recolectar
Datos
3
Mantener
el
Portafolio
de Riesgos
Evaluar Riesgos
31
IT Risk
Escenarios de Riesgo
Acci
Accin
Divulgaci
Divulgacin
Interrupci
Interrupcin
Modificaci
Modificacin
Robo
Destrucci
Destruccin
Dise
Diseo Inefectivo
Ejecuci
Ejecucin
ineficiente
Regulaci
Regulacin
Uso inapropiado
Actor
Internos
Externos
Tipo de Amenaza
Maliciosa
Accidental
Falla
Natural
+
+
Activo / Recurso
Gente y Organizaci
Organizacin
Procesos
Infraestructura
Componentes de la
Arquitectura de Negocio
Escenario
de Riesgo
Tiempo
Duraci
Duracin
Tiempo de Ocurrencia
Tiempo de detecci
deteccin
32
33
Val IT
Los cuatro Ases
Val IT Framework
Estrategia
Valor
Hacemos
las cosas
correctas?
Obtenemos
los
beneficios?
Las
hacemos en
la forma
adecuada?
Logramos
hacerlas
bien
hechas
hechas
Arquitectura
Entrega
34
Val IT
Los Principios de Val IT
Las inversiones habilitadas por TI sern administradas como un
portafolio de inversiones.
Las inversiones habilitadas por TI incluirn el alcance completo de las
actividades que son requeridas para lograr el valor de negocio.
Las inversiones habilitadas por TI sern administradas a travs de su
ciclo de vida econmico completo.
Las prcticas de entrega de valor reconocern que existen diferentes
categoras de inversiones que sern evaluadas y administrada de
manera diferente.
Las prcticas de entrega de valor definirn y vigilarn mtricas clave y
respondern rpidamente a cualquier cambio o desviacin.
Las prcticas de entrega de valor involucrarn a todos los
stakeholders y asignaran apropiadamente la rendicin de cuentas
sobre la entrega de capacidades y la realizacin de beneficios de
negocio.
Las prcticas de entrega de valor sern vigiladas, evaluadas y
mejoradas continuamente.
35
Val IT
Principales Conceptos
Valor
El (los) resultado(s) final(es) de negocio esperado(s) de una inversin de negocio
habilitada por tecnologa en donde tal(es) resultado(s) pueden ser financieros, no financieros
o una combinacin de ambos.
Portafolio
Un agrupamiento de programas, proyectos, servicios o activos seleccionados, administrados y
vigilados para optimizar el retorno del negocio (notar que el foco inicial en Val IT esta
interesado de manera primaria en un portafolio de programas. COBIT esta interesado en
portafolios de proyectos, servicios o activos).
Programa
Un grupo estructurado de proyectos interdependientes que son tanto necesarios como
suficientes para lograr los resultados de negocio para generar valor. Estos proyectos podran
incluir, pero no limitarse a cambios en la naturaleza del negocio, procesos de negocio, el
trabajo desempeado por gente, as como las competencias requeridas para llevar al cabo el
trabajo, tecnologa habilitadora y estructuras organizacionales. El programa de inversin es la
unidad primaria de inversin dentro de Val IT.
Proyecto
Un conjunto estructurado de actividades concernientes a la entrega de una capacidad definida
a la empresa (que es necesaria por NO suficiente para lograr los resultados requeridos
por el negocio) basadas en un calendario y presupuestos acordados.
Implementar
Incluye el ciclo de vida econmico completo de un programa de inversin, hasta el retiro
de la misma. Ie. cuando el valor esperado completo de la inversin es realizado, se ha
obtenido tanto valor como se estima posible o cuando se determina que el valor esperado no
puede ser realizado y el programa es terminado.
36
Val IT
Sus procesos
Gobierno
del Valor
(VG)
Administraci
Administracin
de Inversiones
Administraci
Administracin
del Portafolio
(IM)
(PM)
Su objetivo es asegurar
que los programas
individuales de inversin
habilitada por TI,
generan un valor ptimo
a un costo accesible con
un nivel de riesgo
conocido y aceptable
Relacin Detallada
GRC Red Book y CobiT Control Practices
38
Referencias
GRC Capability Model Red Book 2.0. Open Compliance & Ethics Group (OCEG)
CobiT4.1. IT Governance Institute
IT Assurance Guide. IT Governance Institute
CobiT Control Practices. Guidence to achieve control objectives for succesful
governance. IT Governance Institute.
Enterprise Risk: Identify, Govern and Manage IT Risk. The Risk IT Framework. IT
Governance Institute.
Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. IT
Governance Institute.
IT Governance Implementation Guide Using CobiT and Val IT TM 2nd edition. IT
Governance Institute.
IT Governance Institute
www.itgi.org
www.oceg.org
39
40