Anda di halaman 1dari 40

CobiT , Val IT y Risk IT

en la implementacin de un Modelo de
GRC
ISACA Captulo Monterrey
Presentado por

Gustavo A. Sols, CISA, CISM, CGEIT


gsolis@cynthus.com.mx

Qu es GRC
Definido formalmente, GRC es un sistema de
personas, procesos y tecnologa que permite que
una organizacin:
Comprenda y priorice expectativas de Stakeholders
Establezca objetivos congruentes con valores y riesgos
Logre objetivos al tiempo que optimiza el perfil de riesgos y
protege el valor del negocio.
Operar dentro de fronteras legales, contractuales, internas,
sociales y ticas
Proveer informacin relevante, confiable y oportuna a los
stakeholders apropiados y
Permitir la medicin del desempeo y la eficacia del sistema

Desempeo con Principios


(Principled Performance)

Es el resultado de una clara


articulacin entre los objetivos de una
organizacin y la aplicacin de
mtodos de GRC, mediante los cuales
se establecen fronteras, dentro de las
cuales permanece mientras avanza
hacia el logro de sus objetivos.
Va ms all del desempeo tico, del
desempeo econmico o la
responsabilidad social corporativa.
Representa el logro de todos los
objetivos de una organizacin, al
tiempo que se emplea un enfoque
efectivo, eficiente y responsivo al
Gobierno, a la Administracin de
Riesgos y a Conformidad, el cual
soporta dichos objetivos
3

Las Fronteras de la Conducta Corporativa


Fronteras Voluntarias
Mandatos Internos

Definidas por la
Gerencia

Fronteras Obligatorias
Mandatos Externos

Definidas por fuerzas legales


y requerimientos regulatorios
4

Resultados Universales
de un sistema GRC de alto desempeo
Un sistema de GRC de alto desempeo debe generar los siguientes
resultados universales siendo eficaz, eficiente y responsivo.

Lograr Objetivos de Negocio


Optimizar la Cultura Organizacional
Incrementar la Confianza de los Stakeholders
Preparar y Proteger a la Organizacin
Prevenir, Detectar & Reducir la Adversidad
Motivar e Inspirar la Conducta Deseada
Mejorar la eficiencia y capacidad de Respuesta
Optimizar el Valor econmico y Social
5

Modelo de Capacidades de GRC

Organizar y
Supervisar

Monitorear y
Medir

INFORMAR E
INTEGRAR

Responder y
Resolver

Evaluar y
Alinear
Prevenir y
Promover

Detectar y
Discernir

Modelo de Capacidades de GRC


Organizar y Supervisar
Organizar y supervisar el sistema de GRC para que est
integrado con el modelo de operacin de negocio actual y
pueda modificarlo cuando sea apropiado.
Asignar a la Gerencia responsabilidades especficas,
autoridad de toma de decisiones y compromiso de rendicin
de cuentas para lograr las metas del Sistema
Resultados y Compromiso
Roles y Responsabilidades
Enfoque y Rendicin de Cuentas

Contenido
Introduccin a GRC
Qu es GRC
El concepto de Desempeo con Principios (Principled Performance)
Otros componentes crticos de GRC
Caractersticas del GRC

El modelo de Capacidades de GRC


Los Frameworks de ISACA como base de un modelo GRC
Productos CobiT para implementar un sistema de GRC de TI
Componentes de los Frameworks aplicados al GRC
CobiT
Val IT
Risk IT

Conclusiones

Modelo de Capacidades de GRC


Evaluar y Alinear
Evaluar riesgos y optimizar el perfil de riesgos organizacionales
con un portafolio de iniciativas, tcticas y actividades
Identificacin de Riesgos
Anlisis de Riesgos
Optimizacin de Riesgos

Prevenir y Promover
Promover y motivar la conducta deseable y prevenir eventos y
actividades no deseados utilizando una mezcla de controles e
iniciativas
Cdigos de Conducta
Polticas
Controles Preventivos
Conciencia y Educacin
Incentivos de Capital Humano
Relaciones y Requerimientos de Stakeholders
Financiamiento de Riesgos / Seguros
9

Modelo de Capacidades de GRC


Detectar y Discernir
Detectar conductas y eventos indeseables tanto potenciales
como actuales, as como debilidades del Sistema y
preocupaciones de Stakeholders utilizando una amplia red de
recopilacin de informacin y tcnicas de anlisis
Mesa de Servicio (Hotline) y Notificacin
Consulta y Encuesta (Survey)
Controles Detectivos

10

Modelo de Capacidades de GRC


Responder y Resolver
Responder a, y recuperarse de eventos de conducta tica no
deseada o de incumplimiento o de fallas del Sistema de GRC, para
que la organizacin resuelva cada aspecto inmediato y prevenga o
resuelva aspectos similares de formas ms eficiente y eficaz en el
futuro.
Revisin Interna e Investigacin
Consultas e Investigaciones de Terceros
Controles Correctivos
Respuesta a Crisis y Recuperacin
Remediacin y Disciplina

Monitorear y Medir
Monitorear, medir y modificar el sistema GRC de forma peridica y
consistente para asegurar que contribuye a los objetivos de
negocio, siendo eficiente, eficaz y responsivo a cambios en el
ambiente
Monitoreo de Contexto
Monitoreo de Desempeo y Evaluacin
Mejora Sistemtica
Aseguramiento
11

Modelo de Capacidades de GRC


Contexto y Cultura
Comprender la cultura actual y el contexto interno y externo
en el que opera la organizacin para que el sistema de GRC
pueda orientarse a realidades actuales (e identificar
oportunidades para afectar el contexto y ser ms congruente
con los resultados organizacionales deseados).
Contexto Externo del Negocio
Contexto Interno del Negocio
Cultura
Valores y Objetivos

Informar Integrar
Capturar, documentar y administrar informacin de GRC para
que fluya de forma eficiente y precisa vertical y
horizontalmente a travs de la empresa extendida y hacia los
Stakeholders externos
Administracin de Informacin y Documentacin
Comunicaciones Internas y Externas
Tecnologa e Infraestructura
12

Otros componentes Crticos de GRC

Gente
Aseguramiento

Gobierno

Admn. de
Riesgos

Conformidad

Control

13

GRC es para toda la empresa


a
er
r
so
Te

cio
Servi

Plane
ar

Ve
nt
as

ras
Comp

Proyec
tos
Ca
lid
ad

ir
uc
od
Pr

Gobierno

Conformidad

Co
nt
ab
..

R.H.

g
tin
ke
ar
dad M
Seguri

Adm
Admn. de
Riesgos

TI
Ecolo
ga Rel. Pub.

l
ga
e
L

14

Los Frameworks del ITGI

15

CobiT Extendido
Los tres Frameworks del ITGI
Administraci
Administracin
del Valor

Administraci
Administracin
de Riesgos

Risk IT

Val IT

Dirige

Eventos
relacionados
con TI

Dirige

Evaluar Riesgos
y
Oportunidades

Actividades
de TI

CobiT

16

Elementos del ITGI relacionados con GRC


Governance
Gobierno de TI
Gobierno de seguridad de Informacin

CobiT(v4.1)
Framework de Control
Objetivos de Control (controles generales)
Prcticas de Control

Lineamientos Gerenciales
Gua de Aseguramiento
Cobit y Controles de Aplicacin

Val IT (v2.0)
Risk IT (v1.0)

17

Productos CobiT para Apalancar un sistema de GRC de TI


Directo
Indirecto
Contextual

IT
Governance
Implement..
Guide

Control
Objetives

Management
Guidelines

Assurance
Guide

Control
Practices

Risk IT

Organizar y
Supervisar
Evaluar y
Alinear
Prevenir y
Promover
Detectar y
Discernir
Responder y
Resolver
Monitorear y
Medir
Cultura y
Contexto
Informar e
Integrar
18

Val IT

CobiT
IT Governance Implementation Guide

de
icin
Med peo
m
Dese

Adm
inis
de R tracin
iesgo
s

Ge
to
n
e o d nera
i
e V ci
am gic
e
alo n
n

i
t
l
a
r
A str
E
Dominios
de
Gobierno
de TI

Qu contiene.
La Ruta hacia el Gobierno de TI
Es una gua para implementar
Gobierno de TI utilizando los
frameworks de CobiT y de Val IT
reas Focales de Gobierno de TI.
Ciclo de Vida del Gobierno de TI
El Ambiente del Gobierno de TI
Los Stakeholders del Gobierno de TI

Administracin
de Recursos

Herramientas para autoevaluacin, medicin


y diagnstico:
Dos diagnsticos de conciencia gerencial
Herramienta para medicin de madurez
Formatos de evaluacin de objetivos de
Control MyCOBIT.
Temas para diagnstico de factores riesgo
Temas para diagnstico de objetivos de
control

19

Control Objectives for Information


and related Technologies

20

CobiT
Dominios, Recursos y Criterios
MARCO DE TRABAJO
C O B I T

OBJETIVOS DEL NEGOCIO


OBJETIVOS DE GOBIERNO
PO1
PO2
PO3
PO4

ME1 Monitorear y evaluar el desempeo


de TI.
ME2 Monitorear y evaluar el control
interno.

PO5
PO6

INFORMACION

ME3 Garantizar Cumplimiento


regulatorio.
ME4 Proporcionar Gobierno de
TI.

Eficiencia

Integridad

Efectividad
Cumplimiento
Confiabilidad

Disponibilidad
Confidencialidad

PO7
PO8

Definir el plan estratgico de TI.


Definir la arquitectura de la informacin.
Determinar la direccin tecnolgica.
Definir procesos, organizacin y
relaciones de TI.
Administrar la inversin en TI.
Comunicar la direccin y de las
aspiraciones y la direccin de la
gerencia.
Administrar recursos humanos de TI.
Administrar calidad.

PO9 Evaluar y administrar Riesgos


de TI.
PO10 Administrar proyectos.

PLANEAR
y
ORGANIZAR

MONITOREAR
Y
EVALUAR
RECURSOS
DE
TI
DS1 Definir y administrar niveles de
servicios.
DS2 Administrar servicios de
terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los
sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los
incidentes.
DS9 Administrar la configuracin.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones.

Aplicaciones
Informacin
Infraestructura
Personas
ENTREGAR
Y DAR
SOPORTE

ADQUIRIR
E
IMPLEMENTAR

AI1 Identificar soluciones automatizadas.


AI2 Adquirir y mantener el software
aplicativo.
AI3 Adquirir y mantener la
infraestructura tecnolgica.
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y
cambios.

21

CobiT

Ejecu
tivos
del

CIO

Definir un marco de trabajo de


programas/portafolio para inversiones en TI.

Establecer y mantener un marco de trabajo para


la administracin de proyectos de TI.

A/R

Establecer y mantener un sistema de monitoreo,


medicin y administracin de sistemas.

Asegurar el control efectivos de proyectos y de


cambios a proyectos.

Definir e implementar mtodos de revisin y


aseguramiento de proyectos.

Actividades

Elaborar contratos de proyectos, cronogramas,


planes de calidad, presupuestos y planes de
comunicacin y administracin de riesgos.
Asegurar la participacin y el compromiso de los
stakeholders del proyecto.

C um
pl
A ud i i miento, R
to ra ,
i
Segu esgo,
ridad

CFO

Due
o Pro
c. Ne
gocio
Direc
cin
Oper
acion
es
Arqu
itecto
Jefe
Direc
cin
Desa
rrollo
Direc
cin
Adm
. TI
PMO

CEO

Func
ione
s

Diagrama RACI para PO10

Nego
cio

Matriz RACI: Asignaci


Asignacin de responsabilidades por Rol / PO10

A/R

A/R

C
C

A/R

A/R

Un diagrama RACI para cada proceso identifica quin es Responsable, Debe Rendir Cuentas, es Consultado, y/o es
Informado

22

CobiT
Management Guidelines: Indicadores

Define Metas
Comprender
requerimientos,
vulnerabilidades y
amenazas de
seguridad

Meta de Proceso
Detectar y resolver
accesos no
autorizados a
informacin,
aplicaciones e
infraestructura

Meta de TI
Asegurar que los
servicios de TI
pueden resistir y
recobrarse de
ataques

Mide Logros

es medido mediante es medido mediante es medido mediante


Nmero de
Frecuencia de
Nmero de
incidentes de TI
revisin del tipo de
violaciones de
que realmente
eventos de
acceso
impactan el
seguridad a ser
negocio
monitoreados
KPI
KPI
KPI

Mtrica de Proceso

Mtrica de TI

Meta de Negocio
Mantener la
reputacin y
liderazgo de la
empresa

es medido mediante
Nmero de
incidentes que
provocan
situaciones
pblicas
embarazosas

Mtrica de Negocio
KGI

KGI

Dirige Desempeo
23

KGI

Mejora y realinea

Meta de Actividad

CobiT
Modelos de Madurez y Benchmarking
Los Modelos de Madurez proveen una escala para medir comparativamente las prcticas de
la compaa contra los estndares y directrices de la industria. Un modelo de madurez es
una medida que le permite a la organizacin calificar su madurez para un proceso especfico
desde no existente (0) hasta optimizado (5).
No existente

Inicial

Leyenda para los smbolos utilizados


Estatus actual de la empresa
Promedio de la industria
Meta de la empresa

Repetible
2

Definido
3

Administrado

Optimizado
5

Descripcin de niveles de madurez


0- Los procesos adminstrativos no se aplican del todo.
1- Los procesos son ad hoc y desorganizados.
2- Los procesos siguen un patrn regular.
3- Los procesos se documentan y comunican.
4- Los procesos son monitoreados y medidos.
5- Se aplican buenas prcticas y automatizacin.

24

CobiT
Assurance Guidelines / Ruta de Aseguramiento

Planes de
aseguramiento de TI

Planeacin

Establecer el Universo del Aseguramiento de TI


Seleccionar un marco de trabajo de control de TI
Desarrollar una planeacin de aseguramiento basada en riesgo.
Realizar una evaluacin de alto nivel
Dimensionar y definir los objetivos de alto nivel para la Iniciativa

Alcance detallado y
objetivos

Dimensionamiento

Dimensionar y planear iniciativas de aseguramiento


Seleccionar los objetivos de control para procesos crticos
Personalizar objetivos de control

Refinar el
alcance de
objetivos de
control clave
para el
objeto de
Aseguram.
de TI

Probar la
efectividad
de diseo
del control
de los
objetivos de
control
clave.

Probar los
productos de
los objetivos
de control
clave

Documentar el
impacto de las
debilidades de
control.

Desarrollar y
comunicar
conclusiones
generales y
sugerencias.

25

Conclusin de
Aseguramiento

Ejecucin

Refinar el
entendi_
miento del
Objeto de
Aseguram. de
TI

CobiT
Assurance Guidelines / Ruta de Aseguramiento

Cada una de las 34 guas presenta esta estructura y se aplica de manera


especfica a cada uno de los Procesos y Objetivos de control seleccionados
en el alcance de la Iniciativa de aseguramiento.
Objetivo de Control

Declaracin de Valor

Declaracin de Riesgo

(por objetivo de control)

(por objetivo de control)

(por objetivo de control)

Pasos de Aseguramiento para probar el Diseo del Control


(para cada objetivo de control)
Pasos de Aseguramiento para probar el Producto de los Objetivos de
Control (para cada Proceso)
Pasos de Aseguramiento para Documentar el impacto de las Debilidades
de Control (para cada Proceso)

26

CobiT
Assurance Guidelines / Controles Generales VS Controles de Aplicacin
Las guas de aseguramiento diferencian entre
controles Generales y Controles de Aplicacin

Controles Generales de TI
Planeacin y Organizacin

Requerimientos
Funcionales
Requerimientos
de control

Adquisicin e
Implementacin

Entrega yy
Entrega
Soporte
soporte

Servicios
Automatizados

Monitoreo y Evaluacin

Controles de Aplicacin
27

28

Risk IT
Los Principios de Risk IT

Gobierno Empresarial efectivo para Riesgos de TI:


Siempre se relaciona con objetivos de negocio
Alinea la administracin de los riesgos relacionadios con TI con
la administracin general de riesgos de la Empresa
Equilibra el costo y los beneficios de la administracin de
Riesgos

Adminstracin efectiva de Riesgos de TI:


Promueve una comunicacin clara y abierta sobre riesgos de TI
Establece el tono adecuado desde la parte ms alta de la
empresa al tiempo que define y refuerza la rendicin de cuentas
personal sobre la operacin dentro de niveles de tolerancia bien
definidos.
Es un proceso contnuo y es parte de las actividades diarias

29

IT Risk
Valor de Negocio
Falla en
Generar

Genera

Pierde

Preserva

Valor de Negocio

30

IT Risk
Framework (Dominios y Procesos)

Risk IT Framework

Gobierno de Riesgos

Presenta una estructura similar al


Framework de CobiT
Incluye:
Prcticas gerenciales
Lineamientos Gerenciales
Entradas y salidas
Roles (con definicin) y
Responsabilidades
Metas y Mtricas
Modelos de Madurez de los
Procesos

2
Integrar
con ERM
1
Establecer
una visi
visin
com
comn del
Riesgo

2
Administrar
Riesgos

1
Articular
Riesgos

3
Reaccionar
ante
eventos

Responder a Riesgos

3
Tomar
decisiones
conscientes
del Riesgo

Fundamento
de Riesgos
en TI

Comunicacin

2
Analizar
Riesgos
1
Recolectar
Datos

3
Mantener
el
Portafolio
de Riesgos

Evaluar Riesgos

31

IT Risk
Escenarios de Riesgo
Acci
Accin

Divulgaci
Divulgacin
Interrupci
Interrupcin
Modificaci
Modificacin
Robo
Destrucci
Destruccin
Dise
Diseo Inefectivo
Ejecuci
Ejecucin
ineficiente
Regulaci
Regulacin
Uso inapropiado

Actor
Internos
Externos

Tipo de Amenaza

Maliciosa
Accidental
Falla
Natural

+
+

Activo / Recurso

Gente y Organizaci
Organizacin
Procesos
Infraestructura
Componentes de la
Arquitectura de Negocio

Escenario
de Riesgo

Tiempo

Duraci
Duracin
Tiempo de Ocurrencia
Tiempo de detecci
deteccin

32

33

Val IT
Los cuatro Ases

Val IT Framework
Estrategia

Valor

Hacemos
las cosas
correctas?

Obtenemos
los
beneficios?

Las
hacemos en
la forma
adecuada?

Logramos
hacerlas
bien
hechas
hechas

Arquitectura

Entrega

Presenta una estructura con un


contenido similar al Framework de
CobiT
Incluye para cada proceso:
Entradas y salidas
Roles (con definiciones) y
responsabilidades
Metas y Mtricas
Modelos de Madurez
Gobierno del Valor
Administracin del Portafolio
Administracin de las
Inversiones

34

Val IT
Los Principios de Val IT
Las inversiones habilitadas por TI sern administradas como un
portafolio de inversiones.
Las inversiones habilitadas por TI incluirn el alcance completo de las
actividades que son requeridas para lograr el valor de negocio.
Las inversiones habilitadas por TI sern administradas a travs de su
ciclo de vida econmico completo.
Las prcticas de entrega de valor reconocern que existen diferentes
categoras de inversiones que sern evaluadas y administrada de
manera diferente.
Las prcticas de entrega de valor definirn y vigilarn mtricas clave y
respondern rpidamente a cualquier cambio o desviacin.
Las prcticas de entrega de valor involucrarn a todos los
stakeholders y asignaran apropiadamente la rendicin de cuentas
sobre la entrega de capacidades y la realizacin de beneficios de
negocio.
Las prcticas de entrega de valor sern vigiladas, evaluadas y
mejoradas continuamente.

35

Val IT
Principales Conceptos
Valor
El (los) resultado(s) final(es) de negocio esperado(s) de una inversin de negocio
habilitada por tecnologa en donde tal(es) resultado(s) pueden ser financieros, no financieros
o una combinacin de ambos.

Portafolio
Un agrupamiento de programas, proyectos, servicios o activos seleccionados, administrados y
vigilados para optimizar el retorno del negocio (notar que el foco inicial en Val IT esta
interesado de manera primaria en un portafolio de programas. COBIT esta interesado en
portafolios de proyectos, servicios o activos).

Programa
Un grupo estructurado de proyectos interdependientes que son tanto necesarios como
suficientes para lograr los resultados de negocio para generar valor. Estos proyectos podran
incluir, pero no limitarse a cambios en la naturaleza del negocio, procesos de negocio, el
trabajo desempeado por gente, as como las competencias requeridas para llevar al cabo el
trabajo, tecnologa habilitadora y estructuras organizacionales. El programa de inversin es la
unidad primaria de inversin dentro de Val IT.

Proyecto
Un conjunto estructurado de actividades concernientes a la entrega de una capacidad definida
a la empresa (que es necesaria por NO suficiente para lograr los resultados requeridos
por el negocio) basadas en un calendario y presupuestos acordados.

Implementar
Incluye el ciclo de vida econmico completo de un programa de inversin, hasta el retiro
de la misma. Ie. cuando el valor esperado completo de la inversin es realizado, se ha
obtenido tanto valor como se estima posible o cuando se determina que el valor esperado no
puede ser realizado y el programa es terminado.
36

Val IT
Sus procesos

Gobierno
del Valor

Su objetivo es optimizar el valor de


las inversiones de negocio
habilitadas por tecnologa de una
organizacin.

(VG)

Administraci
Administracin
de Inversiones

Administraci
Administracin
del Portafolio

(IM)

(PM)

Su objetivo es asegurar
que los programas
individuales de inversin
habilitada por TI,
generan un valor ptimo
a un costo accesible con
un nivel de riesgo
conocido y aceptable

Su objetivo es asegurar que el


portafolio general de
inversiones habilitadas por TI,
se encuentre alineado con los
objetivos estratgicos de la
organizacin y contribuye con
un valor ptimo al logro de los
mismos
37

Relacin Detallada
GRC Red Book y CobiT Control Practices

38

Referencias
GRC Capability Model Red Book 2.0. Open Compliance & Ethics Group (OCEG)
CobiT4.1. IT Governance Institute
IT Assurance Guide. IT Governance Institute
CobiT Control Practices. Guidence to achieve control objectives for succesful
governance. IT Governance Institute.
Enterprise Risk: Identify, Govern and Manage IT Risk. The Risk IT Framework. IT
Governance Institute.
Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. IT
Governance Institute.
IT Governance Implementation Guide Using CobiT and Val IT TM 2nd edition. IT
Governance Institute.

Copyright 2007 IT Governance Institute.

Copyright 2006 2009 Open Compliance &


Ethics Group.

IT Governance Institute

Open & Compliance Group

www.itgi.org

www.oceg.org
39

CobiT , Val IT y Risk IT


en la implementacin de un Modelo de
GRC
ISACA Captulo Monterrey
Muchas Gracias!

Gustavo A. Sols, CISA, CISM, CGEIT


gsolis@cynthus.com.mx

40

Anda mungkin juga menyukai