COBIT 5 y GRC

Septiembre 2012
Traduccin al Espaol Cortesa de ISACA Captulo de Guadalajara
GRC
GRC
GRC:

Gobierno, administracin del

riesgo y cumplimiento.

Tmino sombrilla, cada vez ms

utilizado que cubre estas tres
reas de actividades de las
empresas.

Estas reas de actividad estn

siendo progresivamente ms
alineados e integrados para
meorar el rendimiento de la
empresa y la entrega de las
necesidades de las partes
interesadas.
!e"niciones GRC#
GRC:

Gobierno$El eercicio de la autoridad,

control, gobierno, acuerdo.

Riesgo %&dministracin'$(eligro,
riesgo de prdida, da)o o destruccin %el acto
o arte de la gestin, la manera de tratar,
dirigir, seguir adelante, o utilizar, con un
propsito, conducta, administracin, direccin,
control'

Cumplimiento$El acto de cumplimiento,

un rendimiento, en cuanto a su deseo,
demanda o propuesta* concesin*
presentacin
# !iccionario en l+nea ,ebster
Tipos de Gobierno

E-isten di.erentes tipos de

gobierno/

Gobierno Corporativo

Gobierno de (royectos

Gobierno de Tecnolog+as de 0n.ormacin

Gobierno &mbiental

Gobierno Econmico y 1inanciero

Cada tipo tiene una o ms .uentes

de orientacin, cada uno con
obetivos similares pero con
.recuencia var+an trminos y las
tcnicas para su realizacin.
0mplementando Gobierno

2a integracin de la aplicacin
de las actividades de GRC dentro
de una empresa requiere un
en.oque sistmico para el e"caz
logro de los obetivos
empresariales de sus grupos de
inters.

Estos en.oques se basan

normalmente en .acilitadores de
diversos tipos %por eemplo, los
principios, las pol+ticas, modelos,
marcos, estructuras
organizacionales'.
3n eemplo de modelo GRC

!el Red 4oo5 GRC de 6CEG

Capability 7odel version 8.9#
* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.
Gobierno Corporativo de T0

0:6;0EC <=>??/ 8??=

Gobierno Corporativo de
Tecnologa
de Informacin

1.1 lcance

Este estndar establece los principios rectores para

directores de organizaciones %incluyendo propietarios,
miembros del conseo, directores, socios, eecutivos de
alto nivel, o similar' sobre el uso e"caz, e"ciente y
aceptable de la tecnolog+a de la in.ormacin %T0' dentro
de sus organizaciones.

Esta norma se aplica a la gestin de los procesos de

gestin %toma de decisiones' relativas a los servicios de
in.ormacin y comunicacin utilizados por una
organizacin. Estos procesos pueden ser controlados por
especialistas en T0 dentro de la organizacin o de los
proveedores de servicios e-ternos, o por unidades de
negocio dentro de la organizacin.
Gobierno Corporativo de T0 %cont.'
0:6;0EC <=>??/ 8??=
Gobierno Corporativo de
Tecnologa
de Informacin
!.1 "rincipio#
!.1.1 "rincipio 1: Re#pon#abilidad
!.1.! "rincipio !: $#trategia
!.1.% "rincipio %: d&'i#icin
!.1.( "rincipio (: )e#empe*o
!.1.5 "rincipio 5: Conformidad
!.1.+ "rincipio +: Comportamiento ,'mano
Gobierno Corporativo de T0 %cont.'
0:6;0EC <=>??/ 8??=
Gobierno Corporativo de
Tecnologa de Informacin
!.! -odelo
2os administradores debe gobernar las T0 a travs de
tres tareas principales/
a' Evaluar el uso actual y .uturo de T0.
b' (reparacin directa y la aplicacin de planes y
pol+ticas para garantizar que el uso de las T0 cumple
con los obetivos de negocio.
c' 7onitorear la con.ormidad de las pol+ticas, y el
desempe)o contra los planes.
0:&C& y C640T

0:&C& promueve activamente la

investigacin que se traduce en el
desarrollo de productos relevantes y
@tiles para los pro.esionales de
Gobierno de T0, riesgo, control,
aseguramiento y seguridad.

0:&C& desarrolla y mantiene el

internacionalmente reconocido marco
de re.erencia C640T, ayudar a los
pro.esionales de T0 y l+deres
empresariales a cumplir con sus
responsabilidades de gobierno de T0,
mientras que la entrega de valor al
negocio.
COBIT 5
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administracin
COBIT3
Control
COBIT
Un Marco Empresarial de ISACA en www.isaca.org/co!it
A!ditor"a
COBIT1
C640T/ Gobierno de T0 de las Empresas
%GE0T'
"##$/% "### &''(
Evo
l
)c
i
*n

de
l

Al
c
ance
&''+ "#&"
,al I- ".#
."##(/
0is1 I-
."##'/
So)rce: CO2I-
3
$ Introd)ction 4resentation 5 "#&" ISACA
3
All rights reserved
C640T > en Resumen
COBIT 5 re@ne a los cinco
principio# que permiten a la
empresa de construir una
gobernabilidad e.ectiva y un marco
de ge#tin basado en un conunto
Aol+stico de #iete facilitadore# que
optimiza la informacin y la
inversin en tecnologa y el uso
para el bene"cio de las partes
interesadas.
El marco C640T >

En pocas palabras, C640T > ayuda a las empresas a

crear valor ptimo de T0 mediante el mantenimiento
de un equilibrio entre la obtencin de bene"cios y la
optimizacin de los niveles de riesgo y el uso de los
recursos.

C640T > permite que la in.ormacin y la tecnolog+a

relacionada para ser gobernado y administrado de
manera integral para el conunto de la empresa,
teniendo en el pleno de e-tremo a e-tremo del
negocio y reas .uncionales de responsabilidad,
teniendo en cuenta los intereses relacionados con la
T0 de grupos de inters internos y e-ternos.

2os principio# y los facilitadore# de C640T > son

de carcter genrico y @til para las empresas de
todos los tama)os, ya sea comercial, sin "nes de
lucro o en el sector p@blico.
2os (rincipios de C640T >
So)rce: CO2I-
3
$ 6ig)re ". 5 "#&" ISACA
3
All rights reserved.
4rincipios
de CO2I- $
&. Satis6acer
las
necesidades
de las partes
interesadas
". C)!rir la
Organi7aci*n de
6orma integral
8. Aplicar )n
solo marco
integrado
9. :a!ilitar
)n en6o;)e
holistico
$. Separar el
Go!ierno de la
Administraci*n
Babilitadores de C640T >
So)rce: CO2I-
3
$ 6ig)re &". 5 "#&" ISACA
3
All rights reserved.
&. 4rincipios 4ol<ticas = Marcos
". 4rocesos
8. Estr)ct)ras
Organi7acionales
9. C)lt)ra >tica
= Comportamiento
$. In6ormaci*n
+. Servicios
In6raestr)ct)ra
= Aplicaciones
%. 4ersonas
:a!ilidades =
Competencias
0ECU0SOS
GRC en COBIT 5
Gobierno %y administracin' en
C640T >

Gobierno asegura que los obetivos de la empresa se

logren mediante la eval'acin de las necesidades de
las partes interesadas, las condiciones y opciones,
estableciendo la direccin a travs de la priorizacin
y decisin, y monitoreando el desempe)o, el
cumplimiento y el progreso contra acordaron direccin
y obetivos .$)-/.

dmini#tracin planea0 con#tr'ye0 e1ec'ta y

monitorea actividades alineadas con la direccin
establecida por el rgano de gobierno para alcanzar
los obetivos de la empresa."BR-/.

El ejercicio de gobierno y la gestin efcaz en la

prctica requiere el uso adecuado de todos los
facilitadores. El proceso COBIT coo odelo de
referencia nos perite enfocar fcilente sobre las
acti!idades epresariales rele!antes.
Gobierno en C640T >

El modelo de re.erencia C640T > subdivide proceso de

las prcticas relacionadas con la T0 y las actividades
de la empresa en dos grandes reas/ la gobernanza y
la gestin con la administracin dividida en dominios
de los procesos

El dominio G640ERC6 contiene cinco procesos de

gobierno, dentro de cada proceso, evaluar, dirigir y
supervisar %E!7' 2as prcticas se de"nen.
?
?9 &segurar el marco de gobierno y el mantenimiento
de su con"guracin.
?
?8 &segurar la entrega bene"cios.
?
?< Garantizar la optimizacin de riesgos.
?
?D Garantizar la optimizacin de recursos.
?
?> Garantizar la transparencia de los terceros
interesados.

2os cuatro dominios de gestin estn en l+nea con las

reas de responsabilidad de planear, construir,
eecutar y monitorear %(4R7'.
#val!ar$ %iri&ir ' (onitorear )rocesos para el Gobierno Corporativo de TI
)rocesos para la Administracin de TI Corporativa
Alinear$ )lanear ' Or*ani+ar
Constr!ir$ Ad,!irir e Implementar
#ntre*ar$ -ervir ' %ar -oporte
(onitorear$ #val!ar
' .alorar
#%(01 Aseg)rar
;)e se 6i@a el Marco
de Go!ierno = s)
Mantenimiento
#%(0 Aseg)rar
la Entrega de ,alor
#%(03 Aseg)rar
la Optimi7aci*n de
los 0iesgos
#%(04 Aseg)rar
la Optimi7aci*n de
los 0ec)rsos
#%(05 Aseg)rar
la -ransparencia a
las partes
interesadas
A)O01 Administrar el
Marco de la
Administraci*n de -I
A)O0 Administrar
la Estrategia
A)O04 Administrar la
Innovaci*n
A)O03 Administrar
la Ar;)itect)ra
Corporativa
A)O05 Administrar el
4orta6olio
A)O0/ Administrar
el 4res)p)esto = los
Costos
A)O00 Administrar el
0ec)rso :)mano
A)O01 Administrar
las 0elaciones
A)O02 Administrar
los Contratos de
Servicios
A)O11 Administrar
la Calidad
A)O10 Administrar
los 4roveedores
A)O1 Administrar
los 0iesgos
A)O13 Administrar la
Seg)ridad
BAI01 Administrar
4rogramas =
4ro=ectos
BAI0 Administrar
la Ae6inici*n de
0e;)erimientos
BAI04 Administrar la
Aisponi!ilidad =
Capacidad
BAI03 Administrar
la Identi6icaci*n =
Constr)cci*n de
Sol)ciones
BAI05 Administrar la
:a!ilitaci*n del
Cam!io
BAI0/ Administrar
Cam!ios
BAI00 Administrar la
Aceptaci*n de
Cam!ios =
-ransiciones
BAI01 Administrar el
Conocimiento
BAI02 Administrar
los Activos
BAI10 Admnistrar la
Con6ig)raci*n
%--01 Administrar
las Operaciones
%--0 Administrar
las Solicit)des de
Servicios = los
Incidentes
%--04 Administrar la
Contin)idad
%--03 Administrar
4ro!lemas
%--05 Administrar
los Servicios de
Seg)ridad
%--0/ Administrar
los Controles en los
4rocesos de Begocio
(#A01 Monitorear
Eval)ar = ,alorar el
AesempeCo =
C)mplimiento
(#A0 Monitorear
Eval)ar = ,alorar el
Sistema de Control
Interno
(#A03 Monitorear
Eval)ar = ,alorar el
C)mplimiento con
0e;)isitos EDternos
Gobierno en C640T > %cont.'
So)rce: CO2I-
3
$ 6ig)re &+. 5 "#&" ISACA
3
All rights reserved.
&dministracin de Riesgos en
C640T >

El dominio de Gobierno cotiene cinco procesos de

gobierno, uno de los cuales se en.oca en el riesgo
relacionado con los obetivos de los terceros
interesados/ $)-2% #eg'rar la optimi3acin
de rie#go#.

)e#cripcin de proce#o#

&segurar que el apetito de riesgo de la empresa y la

tolerancia se entiende, articulado y comunicado, y que el
riesgo de valor de la empresa en relacin con el uso de
las T0 es identi"cado y gestionado.

"roce#o de declaracin de prop#ito

&segurar que riesgos relacionados con T0 de la empresa

no supere la tolerancia al riesgo y el apetito de riesgo, el
impacto de los riesgos de T0 de valor de la empresa es
identi"cado y maneado, y la posibilidad de .allas de
cumplimiento es m+nimo.
&dministracin de Riesgos en
C640T > %cont.'

El dominio de Gestin &linear, (lanear y

6rganizar contiene un proceso de riesgos
relacionados/ "O1! Ge#tionar el rie#go.

)e#cripcin del proce#o

Continuamente identi"car, evaluar y reducir los

riesgos relacionados con T0 dentro de los
niveles de tolerancia establecidos por la
direccin eecutiva de la empresa.

"roce#o de )eclaracin de "rop#ito

0ntegrar la gestin de riesgos empresariales

relacionados con la T0 con el ER7 en general, y
equilibrar los costos y bene"cios de la gestin
de riesgos relacionados con T0 de la empresa.
#val!ar$ %iri&ir ' (onitorear )rocesos para el Gobierno Corporativo de TI
)rocesos para la Administracin de TI Corporativa
Alinear$ )lanear ' Or*ani+ar
Constr!ir$ Ad,!irir e Implementar
#ntre*ar$ -ervir ' %ar -oporte
(onitorear$ #val!ar
' .alorar
#%(01 Aseg)rar
;)e se 6i@a el Marco
de Go!ierno = s)
Mantenimiento
#%(0 Aseg)rar
la Entrega de ,alor
#%(03 Aseg)rar
la Optimi7aci*n de
los 0iesgos
#%(04 Aseg)rar
la Optimi7aci*n de
los 0ec)rsos
#%(05 Aseg)rar
la -ransparencia a
las partes
interesadas
A)O01 Administrar el
Marco de la
Administraci*n de -I
A)O0 Administrar
la Estrategia
A)O04 Administrar la
Innovaci*n
A)O03 Administrar
la Ar;)itect)ra
Corporativa
A)O05 Administrar el
4orta6olio
A)O0/ Administrar
el 4res)p)esto = los
Costos
A)O00 Administrar el
0ec)rso :)mano
A)O01 Administrar
las 0elaciones
A)O02 Administrar
los Contratos de
Servicios
A)O11 Administrar
la Calidad
A)O10 Administrar
los 4roveedores
A)O1 Administrar
los 0iesgos
A)O13 Administrar la
Seg)ridad
BAI01 Administrar
4rogramas =
4ro=ectos
BAI0 Administrar
la Ae6inici*n de
0e;)erimientos
BAI04 Administrar la
Aisponi!ilidad =
Capacidad
BAI03 Administrar
la Identi6icaci*n =
Constr)cci*n de
Sol)ciones
BAI05 Administrar la
:a!ilitaci*n del
Cam!io
BAI0/ Administrar
Cam!ios
BAI00 Administrar la
Aceptaci*n de
Cam!ios =
-ransiciones
BAI01 Administrar el
Conocimiento
BAI02 Administrar
los Activos
BAI10 Admnistrar la
Con6ig)raci*n
%--01 Administrar
las Operaciones
%--0 Administrar
las Solicit)des de
Servicios = los
Incidentes
%--04 Administrar la
Contin)idad
%--03 Administrar
4ro!lemas
%--05 Administrar
los Servicios de
Seg)ridad
%--0/ Administrar
los Controles en los
4rocesos de Begocio
(#A01 Monitorear
Eval)ar = ,alorar el
AesempeCo =
C)mplimiento
(#A0 Monitorear
Eval)ar = ,alorar el
Sistema de Control
Interno
(#A03 Monitorear
Eval)ar = ,alorar el
C)mplimiento con
0e;)isitos EDternos
&dministracin de Riesgos en
C640T > %cont.'
So)rce: CO2I-
3
$ 6ig)re &+. 5 "#&" ISACA
3
All rights reserved.
&dministracin de Riesgos en
C640T > %cont.'

Todas las actividades de la empresa tienen una

e-posicin de riesgos asociados derivados de las
amenazas ambientales que aprovecAan las
vulnerabilidades Aabilitador

$)-2% #eg'rar optimi3acin del rie#go

asegura que el en.oque de riesgo de los terceros
interesado este en.ocado a como sern tratados los
riesgos que en.renta la empresa.

"O1! Ge#tin de Rie#go proporciona a las

empresas la gestin de riesgos %ER7' las
diposiciones que aseguren que la direccin dada por
los terceros interesados es seguida por la empresa.

Todo# lo# dem4# proce#o# incluye prcticas y

actividades que son dise)adas para tratar el riesgo
relacionado %evitar, reducir ; mitigar ; controlar;
compartir ; trans.erir ; aceptar'.
"O1! RCI C5art
6ey -anagement
"ractice
Bo
ar
d
C5
ief
$7
ec
'ti
ve
O
8
ce
r
C5
ief
9i
na
nci
al
O
8
ce
r
C5
ief
Op
er
ati
ng
O
8
ce
r
B'
#in
e#
#
$7
ec
'ti
ve
#
B'
#in
e#
#
"r
oc
e#
#
O
:n
er
#
;tr
at
eg
y
$7
ec
'ti
ve
Co
m
mi
tte
e
;t
ee
rin
g
."r
og
ra
m
m
e#<
"r
o1
ec
t#/
Co
m
mi
tte
e
"r
o1
ec
t
-a
na
ge
m
en
t
O
8
ce
=a
l'
e
-a
na
ge
m
en
t
O
8
ce
C5
ief
Ri
#>
O
8
ce
r
C5
ief
Inf
or
m
ati
on
;e
c'
rit
y
O
8
ce
r
r
c5i
te
ct
'r
e
Bo
ar
d
$n
ter
pri
#e
Ri
#>
Co
m
mi
tte
e
,e
ad
,'
m
an
Re
#o
'r
ce
#
Co
m
pli
an
ce
'
dit
C5
ief
Inf
or
m
ati
on
O
8
ce
r
,e
ad
r
c5i
te
ct
,e
ad
)e
vel
op
m
en
t
,e
ad
IT
Op
er
ati
on
#
,e
ad
IT
d
mi
ni#
tra
tio
n
;e
rvi
ce
-a
na
ge
r
Inf
or
m
ati
on
;e
c'
rit
y
-a
na
ge
r
B'
#in
e#
#
Co
nti
n'
ity
-a
na
ge
r
"ri
va
cy
O
8c
er
"O1!.21
0 R R R R 0 C C & R R R R R R R R
Collect data.
"O1!.2!
0 R C R C 0 R R & C C C C C C C C
&nalyse ris5.
"O1!.2%
0 R C & C 0 R R R C C C C C C C C
7aintain a ris5 pro"le.
"O1!.2(
0 R C R C 0 C C & C C C C C C C C
&rticulate ris5.
"O1!.25
0 R C & C 0 C C R C C C C C C C C
!e"ne a ris5
management action
port.olio.
"O1!.2+
0 R R R R 0 C C & R R R R R R R R
Respond to ris5.
&dministracin de Riesgos en
C640T > %cont.'

&dems de las actividades, C640T > sugiere las

responsabilidades, .unciones y responsabilidades de las
empresas y el gobierno ; administracin estructuras %tablas
R&C0' para cada proceso. $#to# incl'yen role# para
rie#go# relacionado#.
So)rce: COBIT

5: Enabling Processes page &#(. 5 "#&" ISACA

3
All rights reserved.
A
l
i
*
n
$

)
l
a
n

a
n
d

O
r
*
a
n
i
s
e
Cumplimiento en C640T >

El dominio de la gestin 7onitorear, Evaluar y

valorar contiene un proceso de cumplimiento
en.ocado: -$2% #'pervi#ar0 eval'ar y
eval'ar el c'mplimiento de lo# re&'i#ito#
e7terno#.

)e#cripcin del proce#o

Evaluar que los procesos de T0 y procesos de

negocios apoyados por T0 cumplen con las leyes,
regulaciones y requerimientos contractuales.
Conseguir garant+as de que los requisitos se Aan
identi"cado y se cumplan, e integrar el
cumplimiento de T0 con el cumplimiento general
de la empresa.

"roce#o de prop#ito de declaracin

&seg@rese de que la empresa cumple con todos

los requerimientos e-ternos aplicables.
#val!ar$ %iri&ir ' (onitorear )rocesos para el Gobierno Corporativo de TI
)rocesos para la Administracin de TI Corporativa
Alinear$ )lanear ' Or*ani+ar
Constr!ir$ Ad,!irir e Implementar
#ntre*ar$ -ervir ' %ar -oporte
(onitorear$ #val!ar
' .alorar
#%(01 Aseg)rar
;)e se 6i@a el Marco
de Go!ierno = s)
Mantenimiento
#%(0 Aseg)rar
la Entrega de ,alor
#%(03 Aseg)rar
la Optimi7aci*n de
los 0iesgos
#%(04 Aseg)rar
la Optimi7aci*n de
los 0ec)rsos
#%(05 Aseg)rar
la -ransparencia a
las partes
interesadas
A)O01 Administrar el
Marco de la
Administraci*n de -I
A)O0 Administrar
la Estrategia
A)O04 Administrar la
Innovaci*n
A)O03 Administrar
la Ar;)itect)ra
Corporativa
A)O05 Administrar el
4orta6olio
A)O0/ Administrar
el 4res)p)esto = los
Costos
A)O00 Administrar el
0ec)rso :)mano
A)O01 Administrar
las 0elaciones
A)O02 Administrar
los Contratos de
Servicios
A)O11 Administrar
la Calidad
A)O10 Administrar
los 4roveedores
A)O1 Administrar
los 0iesgos
A)O13 Administrar la
Seg)ridad
BAI01 Administrar
4rogramas =
4ro=ectos
BAI0 Administrar
la Ae6inici*n de
0e;)erimientos
BAI04 Administrar la
Aisponi!ilidad =
Capacidad
BAI03 Administrar
la Identi6icaci*n =
Constr)cci*n de
Sol)ciones
BAI05 Administrar la
:a!ilitaci*n del
Cam!io
BAI0/ Administrar
Cam!ios
BAI00 Administrar la
Aceptaci*n de
Cam!ios =
-ransiciones
BAI01 Administrar el
Conocimiento
BAI02 Administrar
los Activos
BAI10 Admnistrar la
Con6ig)raci*n
%--01 Administrar
las Operaciones
%--0 Administrar
las Solicit)des de
Servicios = los
Incidentes
%--04 Administrar la
Contin)idad
%--03 Administrar
4ro!lemas
%--05 Administrar
los Servicios de
Seg)ridad
%--0/ Administrar
los Controles en los
4rocesos de Begocio
(#A01 Monitorear
Eval)ar = ,alorar el
AesempeCo =
C)mplimiento
(#A0 Monitorear
Eval)ar = ,alorar el
Sistema de Control
Interno
(#A03 Monitorear
Eval)ar = ,alorar el
C)mplimiento con
0e;)isitos EDternos
Cumplimiento en C640T > %cont.'
So)rce: CO2I-
3
$ 6ig)re &+. 5 "#&" ISACA
3
All rights reserved.
Cumplimiento en C640T > %cont.'

Cumplimiento legal y regulatorio es una

parte clave de la gestin e.ectiva de una
empresa, de aA+ su inclusin en el trmino
GRC y en los obetivos de la empresa
C640T > y la estructura soportante proceso
.acilitador %7E&?<'.

&dicionalmente al 7E&?<, todas las

actividades de la empresa incluyen las
actividades de control que estn dise)ados
para asegurar el cumplimiento no slo
e-ternamente impuestas e-igencias
legislativas o reglamentarias, sino tambin
con las empresas gobernabilidad
determinados principios, pol+ticas y
procedimientos.
-$2% RCI C5art
6ey -anagement
"ractice
Bo
ar
d
C5
ief
$7
ec
'ti
ve
O
8
ce
r
C5
ief
9i
na
nci
al
O
8
ce
r
C5
ief
Op
er
ati
ng
O
8
ce
r
B'
#in
e#
#
$7
ec
'ti
ve
#
B'
#in
e#
#
"r
oc
e#
#
O
:n
er
#
;t
rat
eg
y
$7
ec
'ti
ve
Co
m
mi
tte
e
;t
ee
rin
g
."
ro
gr
a
m
m
e#<
"r
o1
ec
t#/
Co
m
mi
tte
e
"r
o1
ec
t
-
an
ag
e
m
en
t
O
8
ce
=a
l'
e
-
an
ag
e
m
en
t
O
8
ce
C5
ief
Ri
#>
O
8
ce
r
C5
ief
Inf
or
m
ati
on
;e
c'
rit
y
O
8
ce
r
r
c5i
te
ct
'r
e
Bo
ar
d
$n
ter
pri
#e
Ri
#>
Co
m
mi
tte
e
,e
ad
,'
m
an
Re
#o
'r
ce
#
Co
m
pli
an
ce
'
dit
C5
ief
Inf
or
m
ati
on
O
8
ce
r
,e
ad
r
c5i
te
ct
,e
ad
)e
ve
lo
p
m
en
t
,e
ad
IT
Op
er
ati
on
#
,e
ad
IT
d
mi
ni#
tra
tio
n
;e
rvi
ce
-
an
ag
er
Inf
or
m
ati
on
;e
c'
rit
y
-
an
ag
er
B'
#in
e#
#
Co
nti
n'
ity
-
an
ag
er
"ri
va
cy
O
8
ce
r
-$2%.21 & R R R R R
0denti.y e-ternal
compliance
requirements.
-$2%.2! R R R & R 0 R R R R 0 R R R R R R R
6ptimise response to
e-ternal requirements.
-$2%.2% 0 R R R R R 0 0 C & 0 R C C C C C C C R
Con"rm e-ternal
compliance.
-$2%.2( 0 0 0 0 C C 0 C C & R C C C C C C C C
6btain assurance o.
e-ternal compliance.
Cumplimiento en C640T > %cont.'

&dems de las actividades, C640T > sugiere las

responsabilidades, .unciones y responsabilidades de las
empresas y el gobierno ; administracin estructuras %tablas
R&C0' para cada proceso. $#to# incl'yen 'na f'ncin
relacionada con el c'mplimiento.
So)rce: COBIT

5: Enabling Processes page "&8. 5 "#&" ISACA

3
All rights reserved.
Resumen

El marco CO2I- $ incl)=e la orientaci*n necesaria para

apo=ar los o!@etivos de G0C de la empresa = actividades
de apo=o:

Actividades de go!ierno relacionadas a GEI- .$ procesos/

4rocesos de gesti*n de riesgos = apo=o para la gesti*n de

riesgos a travEs del espacio GEI-

C)mplimiento: )n en6o;)e espec<6ico en las actividades de

c)mplimiento en el marco = c*mo enca@an dentro de la
imagen completa de la empresa

Fa incl)si*n de los ac)erdos de G0C en el marco de

negocio para GEI- a=)da a las empresas a evitar el
pro!lema principal con sol)ciones G0C Gsilos de
actividadH
ISACA 2012. This work, and any derivatives thereof, may not be offer for sale alone, or as part any other pbli!ation or prod!t.