3. GRC
GRC:
Gobierno, administración del riesgo y
cumplimiento.
Témino sombrilla, cada vez más
utilizado que cubre estas tres áreas de
actividades de las empresas.
Estas áreas de actividad están siendo
progresivamente más alineados e
integrados para mejorar el rendimiento
de la empresa y la entrega de las
necesidades de las partes interesadas.
4. Definiciones GRC*
GRC:
Gobierno—El ejercicio de la autoridad, control,
gobierno, acuerdo.
Riesgo (Administración)—Peligro, riesgo de
pérdida, daño o destrucción (el acto o arte de la
gestión, la manera de tratar, dirigir, seguir adelante, o
utilizar, con un propósito, conducta, administración,
dirección, control)
Cumplimiento—El acto de cumplimiento, un
rendimiento, en cuanto a su deseo, demanda o
propuesta; concesión; presentación
* Diccionario en línea Webster
5. Tipos de Gobierno
Existen diferentes tipos de gobierno:
Gobierno Corporativo
Gobierno de Proyectos
Gobierno de Tecnologías de Información
Gobierno Ambiental
Gobierno Económico y Financiero
Cada tipo tiene una o más fuentes de
orientación, cada uno con objetivos
similares pero con frecuencia varían
términos y las técnicas para su
realización.
6. Implementando Gobierno
La integración de la aplicación de las
actividades de GRC dentro de una
empresa requiere un enfoque sistémico
para el eficaz logro de los objetivos
empresariales de sus grupos de interés.
Estos enfoques se basan normalmente
en facilitadores de diversos tipos (por
ejemplo, los principios, las políticas,
modelos, marcos, estructuras
organizacionales).
7. Un ejemplo de modelo GRC
Del Red Book GRC de OCEG Capability
Model version 2.1*
* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.
8. Gobierno Corporativo de TI
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnología
de Información
1.1 Alcance
Este estándar establece los principios rectores para directores de
organizaciones (incluyendo propietarios, miembros del consejo,
directores, socios, ejecutivos de alto nivel, o similar) sobre el uso
eficaz, eficiente y aceptable de la tecnología de la información (TI)
dentro de sus organizaciones.
Esta norma se aplica a la gestión de los procesos de gestión (toma
de decisiones) relativas a los servicios de información y
comunicación utilizados por una organización. Estos procesos
pueden ser controlados por especialistas en TI dentro de la
organización o de los proveedores de servicios externos, o por
unidades de negocio dentro de la organización.
9. Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnología
de Información
2.1 Principios
2.1.1 Principio 1: Responsabilidad
2.1.2 Principio 2: Estrategia
2.1.3 Principio 3: Adquisición
2.1.4 Principio 4: Desempeño
2.1.5 Principio 5: Conformidad
2.1.6 Principio 6: Comportamiento Humano
10. Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnología
de Información
2.2 Modelo
Los administradores debe gobernar las TI a través de tres tareas
principales:
a) Evaluar el uso actual y futuro de TI.
b) Preparación directa y la aplicación de planes y políticas para
garantizar que el uso de las TI cumple con los objetivos de
negocio.
c) Monitorear la conformidad de las políticas, y el desempeño
contra los planes.
11. ISACA y COBIT
ISACA promueve activamente la
investigación que se traduce en el desarrollo
de productos relevantes y útiles para los
profesionales de Gobierno de TI, riesgo,
control, aseguramiento y seguridad.
ISACA desarrolla y mantiene el
internacionalmente reconocido marco de
referencia COBIT, ayudar a los profesionales
de TI y líderes empresariales a cumplir con
sus responsabilidades de gobierno de TI,
mientras que la entrega de valor al negocio.
14. COBIT 5 en Resumen
COBIT 5 reúne a los cinco principios que
permiten a la empresa de construir una
gobernabilidad efectiva y un marco de
gestión basado en un conjunto holístico de
siete facilitadores que optimiza la
información y la inversión en tecnología
y el uso para el beneficio de las partes
interesadas.
15. El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a crear valor
óptimo de TI mediante el mantenimiento de un equilibrio
entre la obtención de beneficios y la optimización de los
niveles de riesgo y el uso de los recursos.
COBIT 5 permite que la información y la tecnología
relacionada para ser gobernado y administrado de manera
integral para el conjunto de la empresa, teniendo en el pleno
de extremo a extremo del negocio y áreas funcionales de
responsabilidad, teniendo en cuenta los intereses
relacionados con la TI de grupos de interés internos y
externos.
Los principios y los facilitadores de COBIT 5 son de
carácter genérico y útil para las empresas de todos los
tamaños, ya sea comercial, sin fines de lucro o en el sector
público.
19. Gobierno (y administración) en COBIT 5
Gobierno asegura que los objetivos de la empresa se logren
mediante la evaluación de las necesidades de las partes
interesadas, las condiciones y opciones, estableciendo la
dirección a través de la priorización y decisión, y
monitoreando el desempeño, el cumplimiento y el progreso
contra acordaron dirección y objetivos (EDM).
Administración planea, construye, ejecuta y monitorea
actividades alineadas con la dirección establecida por el órgano
de gobierno para alcanzar los objetivos de la empresa(PBRM).
El ejercicio de gobierno y la gestión eficaz en la práctica requiere
el uso adecuado de todos los facilitadores. El proceso COBIT
como modelo de referencia nos permite enfocar fácilmente sobre
las actividades empresariales relevantes.
20. Gobierno en COBIT 5
• El modelo de referencia COBIT 5 subdivide proceso de las
prácticas relacionadas con la TI y las actividades de la empresa
en dos grandes áreas: la gobernanza y la gestión con la
administración dividida en dominios de los procesos
• El dominio GOBIERNO contiene cinco procesos de gobierno,
dentro de cada proceso, evaluar, dirigir y supervisar (EDM) Las
prácticas se definen.
•01 Asegurar el marco de gobierno y el mantenimiento de su configuración.
•02 Asegurar la entrega beneficios.
•03 Garantizar la optimización de riesgos.
•04 Garantizar la optimización de recursos.
•05 Garantizar la transparencia de los terceros interesados.
• Los cuatro dominios de gestión están en línea con las áreas de
responsabilidad de planear, construir, ejecutar y monitorear
(PBRM).
22. Administración de Riesgos en COBIT 5
• El dominio de Gobierno cotiene cinco procesos de
gobierno, uno de los cuales se enfoca en el riesgo
relacionado con los objetivos de los terceros interesados:
EDM03 Asegurar la optimización de riesgos.
• Descripción de procesos
• Asegurar que el apetito de riesgo de la empresa y la tolerancia se
entiende, articulado y comunicado, y que el riesgo de valor de la
empresa en relación con el uso de las TI es identificado y
gestionado.
• Proceso de declaración de propósito
• Asegurar que riesgos relacionados con TI de la empresa no supere
la tolerancia al riesgo y el apetito de riesgo, el impacto de los
riesgos de TI de valor de la empresa es identificado y manejado, y
la posibilidad de fallas de cumplimiento es mínimo.
23. Administración de Riesgos en COBIT 5
(cont.)
• El dominio de Gestión Alinear, Planear y Organizar
contiene un proceso de riesgos relacionados: APO12
Gestionar el riesgo.
• Descripción del proceso
• Continuamente identificar, evaluar y reducir los riesgos
relacionados con TI dentro de los niveles de tolerancia
establecidos por la dirección ejecutiva de la empresa.
• Proceso de Declaración de Propósito
• Integrar la gestión de riesgos empresariales
relacionados con la TI con el ERM en general, y
equilibrar los costos y beneficios de la gestión de
riesgos relacionados con TI de la empresa.
25. Administración de Riesgos en COBIT 5
(cont.)
• Todas las actividades de la empresa tienen una exposición
de riesgos asociados derivados de las amenazas ambientales
que aprovechan las vulnerabilidades habilitador
• EDM03 Asegurar optimización del riesgo asegura que el
enfoque de riesgo de los terceros interesado este enfocado a
como serán tratados los riesgos que enfrenta la empresa.
• APO12 Gestión de Riesgo proporciona a las empresas la
gestión de riesgos (ERM) las diposiciones que aseguren que la
dirección dada por los terceros interesados es seguida por la
empresa.
• Todos los demás procesos incluye prácticas y actividades
que son diseñadas para tratar el riesgo relacionado (evitar,
reducir / mitigar / controlar/ compartir / transferir / aceptar).
27. Cumplimiento en COBIT 5
• El dominio de la gestión Monitorear, Evaluar y valorar
contiene un proceso de cumplimiento enfocado: MEA03
supervisar, evaluar y evaluar el cumplimiento de los
requisitos externos.
• Descripción del proceso
• Evaluar que los procesos de TI y procesos de negocios
apoyados por TI cumplen con las leyes, regulaciones y
requerimientos contractuales. Conseguir garantías de
que los requisitos se han identificado y se cumplan, e
integrar el cumplimiento de TI con el cumplimiento
general de la empresa.
• Proceso de propósito de declaración
• Asegúrese de que la empresa cumple con todos los
requerimientos externos aplicables.
29. Cumplimiento en COBIT 5(cont.)
• Cumplimiento legal y regulatorio es una parte
clave de la gestión efectiva de una empresa, de ahí
su inclusión en el término GRC y en los objetivos
de la empresa COBIT 5 y la estructura soportante
proceso facilitador (MEA03).
• Adicionalmente al MEA03, todas las actividades
de la empresa incluyen las actividades de control
que están diseñados para asegurar el
cumplimiento no sólo externamente impuestas
exigencias legislativas o reglamentarias, sino
también con las empresas gobernabilidad
determinados principios, políticas y
procedimientos.