1

CobiT CobiT ®®, Val IT , Val IT ®® y Risk IT y Risk IT ®®en la implementacien la implementacióón de un Modelo de n de un Modelo de

GRCGRC

ISACA Capítulo Monterrey

Presentado por

Gustavo A. Solís, CISA, CISM, CGEIT

gsolis@cynthus.com.mx

2

QuQuéé es GRCes GRC

Definido formalmente, GRC es un sistema de personas, procesos y tecnología que permite que una organización:

Comprenda y priorice expectativas de StakeholdersEstablezca objetivos congruentes con valores y riesgosLogre objetivos al tiempo que optimiza el perfil de riesgos y protege el valor del negocio.Operar dentro de fronteras legales, contractuales, internas, sociales y éticasProveer información relevante, confiable y oportuna a los stakeholders apropiados yPermitir la medición del desempeño y la eficacia del sistema

3

DesempeDesempeñño con Principios o con Principios ((Principled PerformancePrincipled Performance))

Es el resultado de una clara articulación entre los objetivos de una organización y la aplicación de métodos de GRC, mediante los cuales se establecen fronteras, dentro de las cuales permanece mientras avanza hacia el logro de sus objetivos.Va más allá del desempeño ético, del desempeño económico o la responsabilidad social corporativa.Representa el logro de todos los objetivos de una organización, al tiempo que se emplea un enfoque efectivo, eficiente y responsivo al Gobierno, a la Administración de Riesgos y a Conformidad, el cual soporta dichos objetivos

4

Las Fronteras de la Conducta CorporativaLas Fronteras de la Conducta Corporativa

Fronteras Obligatorias“Mandatos Externos”

Fronteras Voluntarias“Mandatos Internos”

Definidas por fuerzas legales y requerimientos regulatoriosDefinidas por la

Gerencia

5

Resultados Universales Resultados Universales …… de un sistema GRC de alto desempede un sistema GRC de alto desempeññoo

Lograr Objetivos de Negocio

Optimizar la Cultura Organizacional

Incrementar la Confianza de los Stakeholders

Preparar y Proteger a la Organización

Prevenir, Detectar & Reducir la Adversidad

Motivar e Inspirar la Conducta Deseada

Mejorar la eficiencia y capacidad de Respuesta

Optimizar el Valor económico y Social

Un sistema de GRC de alto desempeño debe generar los siguientes resultados universales siendo eficaz, eficiente y responsivo.

6

Modelo de Capacidades de GRCModelo de Capacidades de GRC

Organizar y Organizar y SupervisarSupervisar

Evaluar y Evaluar y AlinearAlinear

Prevenir y Prevenir y PromoverPromover

Detectar y Detectar y DiscernirDiscernir

Responder y Responder y ResolverResolver

Monitorear y Monitorear y MedirMedir

INFORMAR E INFORMAR E

INTEGRARINTEGRAR

7

Modelo de Capacidades de GRCModelo de Capacidades de GRC

Organizar y Supervisar

Organizar y supervisar el sistema de GRC para que esté

integrado con el modelo de operación de negocio actual y

pueda modificarlo cuando sea apropiado.

Asignar a la Gerencia responsabilidades específicas,

autoridad de toma de decisiones y compromiso de rendición

de cuentas para lograr las metas del Sistema

Resultados y Compromiso

Roles y ResponsabilidadesEnfoque y Rendición de Cuentas

8

ContenidoContenido

Introducción a GRCQué es GRCEl concepto de “Desempeño con Principios” (Principled Performance)

Otros componentes críticos de GRCCaracterísticas del GRC

El modelo de Capacidades de GRCLos Frameworks de ISACA como base de un modelo GRCProductos CobiT para implementar un sistema de GRC de TIComponentes de los Frameworks aplicados al GRC

CobiTVal ITRisk IT

Conclusiones

9

Modelo de Capacidades de GRCModelo de Capacidades de GRC

Evaluar y Alinear

Evaluar riesgos y optimizar el perfil de riesgos organizacionales

con un portafolio de iniciativas, tácticas y actividades

Identificación de RiesgosAnálisis de RiesgosOptimización de Riesgos

Prevenir y Promover

Promover y motivar la conducta deseable y prevenir eventos y

actividades no deseados utilizando una mezcla de controles e

iniciativas Códigos de ConductaPolíticasControles PreventivosConciencia y EducaciónIncentivos de Capital HumanoRelaciones y Requerimientos de StakeholdersFinanciamiento de Riesgos / Seguros

10

Modelo de Capacidades de GRCModelo de Capacidades de GRC

Detectar y Discernir

Detectar conductas y eventos indeseables tanto potenciales

como actuales, así como debilidades del Sistema y

preocupaciones de Stakeholders utilizando una amplia red de

recopilación de información y técnicas de análisis

Mesa de Servicio (Hotline) y NotificaciónConsulta y Encuesta (Survey)Controles Detectivos

11

Modelo de Capacidades de GRCModelo de Capacidades de GRC

Responder y Resolver

Responder a, y recuperarse de eventos de conducta ética no

deseada o de incumplimiento o de fallas del Sistema de GRC, para

que la organización resuelva cada aspecto inmediato y prevenga o

resuelva aspectos similares de formas más eficiente y eficaz en el

futuro.Revisión Interna e InvestigaciónConsultas e Investigaciones de TercerosControles CorrectivosRespuesta a Crisis y RecuperaciónRemediación y Disciplina

Monitorear y Medir

Monitorear, medir y modificar el sistema GRC de forma periódica y consistente para asegurar que contribuye a los objetivos de negocio, siendo eficiente, eficaz y responsivo a cambios en el ambiente

Monitoreo de ContextoMonitoreo de Desempeño y EvaluaciónMejora SistemáticaAseguramiento

12

Modelo de Capacidades de GRCModelo de Capacidades de GRC

Contexto y CulturaComprender la cultura actual y el contexto interno y externo

en el que opera la organización para que el sistema de GRC

pueda orientarse a realidades actuales (e identificar

oportunidades para afectar el contexto y ser más congruente

con los resultados organizacionales deseados).

Contexto Externo del NegocioContexto Interno del Negocio

CulturaValores y Objetivos

Informar IntegrarCapturar, documentar y administrar información de GRC para

que fluya de forma eficiente y precisa vertical y

horizontalmente a través de la empresa extendida y hacia los

Stakeholders externos

Administración de Información y DocumentaciónComunicaciones Internas y ExternasTecnología e Infraestructura

13

Otros componentes CrOtros componentes Crííticos de GRCticos de GRC

GobiernoGobierno

AdmAdmóón. de n. de

RiesgosRiesgosConformidadConformidad

As

eg

ura

mie

nto

As

eg

ura

mie

nto

ControlControl

GenteGente

14

GRC es para toda la empresaGRC es para toda la empresa

PlanearPlanear

Ventas

Ventas

Pro

ducir

Pro

ducir

Co

mp

ras

Co

mp

ras

R.H

.R

.H.

Conta

b..

Conta

b..

Legal

Legal

Rel. Pub.Rel. Pub.EcologEcologííaa

Marketin

g

Marketin

g

Seg

urid

ad

Seg

urid

ad

Pro

yecto

sP

royecto

sC

alid

ad

Cal

idad

Tesorer

Tesorerííaa

ServicioServicio

TITI

AdmAdmóón. de n. de RiesgosRiesgos

ConformidadConformidad

GobiernoGobierno

15

Los Frameworks del ITGI

16

““CobiT ExtendidoCobiT Extendido””Los tres Los tres FrameworksFrameworks del ITGIdel ITGI

AdministraciAdministracióón n

de de RiesgosRiesgos

AdministraciAdministracióón n

del del ValorValor

Evaluar Riesgos Evaluar Riesgos

y y

OportunidadesOportunidades

Eventos Eventos

relacionados relacionados

con TIcon TI

Actividades Actividades

de TIde TI

Risk IT Val IT

Diri

geD

irige

Dirige

Dirige

CobiT

17

Elementos del ITGI relacionados con GRCElementos del ITGI relacionados con GRC

GovernanceGobierno de TI

Gobierno de seguridad de Información

CobiT(v4.1)Framework de Control

Objetivos de Control (controles generales)Prácticas de Control

Lineamientos GerencialesGuía de AseguramientoCobit y Controles de Aplicación

Val IT (v2.0)Risk IT (v1.0)

18

Productos CobiT para Apalancar un sistema de GRC de TIProductos CobiT para Apalancar un sistema de GRC de TI

Organizar y Organizar y SupervisarSupervisar

Evaluar y Evaluar y AlinearAlinear

Prevenir y Prevenir y PromoverPromover

Detectar y Detectar y DiscernirDiscernir

Responder y Responder y ResolverResolver

Cultura y Cultura y ContextoContexto

Informar e Informar e IntegrarIntegrar

Assurance Assurance GuideGuide

Control Control PracticesPractices

Management Management GuidelinesGuidelines

Control Control ObjetivesObjetives

IT IT Governance Governance Implement.. Implement..

GuideGuide

Val ITVal ITRisk ITRisk IT

Monitorear y Monitorear y MedirMedir

Directo

Indirecto

Contextual

19

CobiTCobiTIT Governance Implementation GuideIT Governance Implementation Guide

Qué contiene….

La Ruta hacia el Gobierno de TIEs una guía para implementar Gobierno de TI utilizando los frameworks de CobiT y de Val ITÁreas Focales de Gobierno de TI.Ciclo de Vida del Gobierno de TI

El Ambiente del Gobierno de TILos Stakeholders del Gobierno de TI

Dominios de

Gobierno de TI

Alineamiento

Estratégico

Generación de Valor

Administración

de Riesgos

Administración

de Recursos

Medición de

Desem

peño

Herramientas para autoevaluación, medición y diagnóstico:

Dos diagnósticos de conciencia gerencial

Herramienta para medición de madurezFormatos de evaluación de objetivos de

Control “MyCOBIT”. Temas para diagnóstico de factores riesgo

Temas para diagnóstico de objetivos de control

20

Control Objectives for Information and related Technologies ®

21

CobiTCobiTDominios, Recursos y CriteriosDominios, Recursos y Criterios

OBJETIVOS DEL NEGOCIOOBJETIVOS DE GOBIERNO

Eficiencia

AplicacionesInformación

InfraestructuraPersonas

ENTREGAR Y DAR

SOPORTE

MONITOREARY

EVALUAR

ADQUIRIRE

IMPLEMENTAR

INFORMACION

RECURSOSDETI

MARCO DE TRABAJOC O B I T

Efectividad

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

PLANEARy

ORGANIZAR

Confiabilidad

DS1 Definir y administrar niveles de servicios.

DS2 Administrar servicios de terceros.DS3 Administrar desempeño y capacidad.

DS4 Garantizar la continuidad del servicio.DS5 Garantizar la seguridad de los

sistemas.DS6 Identificar y asignar costos.DS7 Educar y entrenar a los usuarios.DS8 Administrar la mesa de servicio y los

incidentes.DS9 Administrar la configuración.DS10 Administrar los problemas.

DS11 Administrar los datos.DS12 Administrar el ambiente físico.DS13 Administrar las operaciones.

ME1 Monitorear y evaluar el desempeño de TI.

ME2 Monitorear y evaluar el control interno.

ME3 Garantizar Cumplimientoregulatorio.

ME4 Proporcionar Gobierno de TI.

PO1 Definir el plan estratégico de TI.

PO2 Definir la arquitectura de la información.PO3 Determinar la dirección tecnológica.PO4 Definir procesos, organización y

relaciones de TI.PO5 Administrar la inversión en TI.PO6 Comunicar la dirección y de las

aspiraciones y la dirección de la gerencia.

PO7 Administrar recursos humanos de TI.PO8 Administrar calidad.

PO9 Evaluar y administrar Riesgos de TI.

PO10 Administrar proyectos.

AI1 Identificar soluciones automatizadas.AI2 Adquirir y mantener el software

aplicativo.AI3 Adquirir y mantener la

infraestructura tecnológica.AI4 Facilitar la operación y el uso.AI5 Adquirir recursos de TI.

AI6 Administrar cambios.AI7 Instalar y acreditar soluciones y

cambios.

22

CobiTCobiTMatriz RACI: AsignaciMatriz RACI: Asignacióón de responsabilidades por Rol / PO10n de responsabilidades por Rol / PO10

Definir un marco de trabajo de programas/portafolio para inversiones en TI.

C C A R C C

Establecer y mantener un marco de trabajo para la administración de proyectos de TI.

I I I A/R I C C C C R C

Establecer y mantener un sistema de monitoreo, medición y administración de sistemas.

I I I R C C C C A/R C

Elaborar contratos de proyectos, cronogramas, planes de calidad, presupuestos y planes de comunicación y administración de riesgos.

C C C C C C C A/R C

Asegurar la participación y el compromiso de los stakeholders del proyecto.

I A R C C

Asegurar el control efectivos de proyectos y de cambios a proyectos.

C C C C C A/R C

Definir e implementar métodos de revisión y aseguramiento de proyectos.

I C I A/R C

CE

O

CF

O

Eje

cuti

vos

del

Neg

oci

oC

IO

Dueñ

o P

roc.

Neg

oci

oD

irec

ció

n O

per

acio

nes

Arq

uit

ecto

Jef

eD

irec

ció

n D

esar

roll

oD

irec

ció

n A

dm

. T

IP

MO

Diagrama RACI para PO10

Fun

cion

es

Actividades

Un diagrama RACI para cada proceso identifica quién es Responsable, Debe Rendir Cuentas, es Consultado, y/o es Informado

Cu

mp

lim

iento

, R

iesg

o,

Cu

mp

lim

iento

, R

iesg

o,

Aud

itor

Aud

itor íí

a, S

eguri

dad

a, S

eguri

dad

Cu

mp

lim

iento

, R

iesg

o,

Aud

itorí

a, S

eguri

dad

23

CobiTCobiTManagement Guidelines: IndicadoresManagement Guidelines: Indicadores

Define Metas

Mide Logros

Dirige Desempeño

Mej

ora

y re

alin

ea

Meta de Actividad Meta de Proceso Meta de TI Meta de Negocio

es medido mediante es medido mediante es medido mediante es medido mediante

KPI Métrica de Proceso KGI

KPI Métrica de TI KGI

KPI Métrica de Negocio KGI

Comprender

requerimientos,

vulnerabilidades y

amenazas de

seguridad

Frecuencia de

revisión del tipo de

eventos de

seguridad a ser

monitoreados

Número de

violaciones de

acceso

Número de

incidentes de TI

que realmente

impactan el

negocio

Número de incidentes que provocan situaciones públicas

embarazosas

Detectar y resolver accesos no autorizados a información, aplicaciones e infraestructura

Asegurar que los

servicios de TI

pueden resistir y

recobrarse de

ataques

Mantener la

reputación y

liderazgo de la

empresa

24

CobiTCobiTModelos de Madurez y BenchmarkingModelos de Madurez y Benchmarking

Los Modelos de Madurez proveen una escala para medir comparativamente las prácticas de la compañía contra los estándares y directrices de la industria. Un modelo de madurez es una medida que le permite a la organización calificar su madurez para un proceso específico desde no existente (0) hasta optimizado (5).

No existente Inicial Repetible Definido Administrado Optimizado

0 1 2 3 4

Leyenda para los símbolos utilizados Descripción de niveles de madurez

0- Los procesos adminstrativos no se aplican del todo.1- Los procesos son ad hoc y desorganizados.2- Los procesos siguen un patrón regular.3- Los procesos se documentan y comunican.4- Los procesos son monitoreados y medidos.5- Se aplican buenas prácticas y automatización.

Estatus actual de la empresa

Promedio de la industria

Meta de la empresa

5

25

CobiTCobiTAssurance Guidelines / Ruta de AseguramientoAssurance Guidelines / Ruta de Aseguramiento

Planeación

Dimensionam

ientoEjecución

• Establecer el Universo del Aseguramiento de TI

• Seleccionar un marco de trabajo de control de TI

• Desarrollar una planeación de aseguramiento basada en riesgo.

• Realizar una evaluación de alto nivel

• Dimensionar y definir los objetivos de alto nivel para la Iniciativa

• Dimensionar y planear iniciativas de aseguramiento

• Seleccionar los objetivos de control para procesos críticos

• Personalizar objetivos de control

Refinar el entendi_ miento del Objeto de Aseguram. de TI

Refinar el alcance de objetivos de control clave para el objeto de Aseguram. de TI

Probar la efectividad de diseño del control de los objetivos de control clave.

Probar los productos de los objetivos de control clave

Documentar el impacto de las debilidades de control.

Desarrollar y comunicar conclusiones generales y sugerencias.

Planes de

aseguramiento de T

IAlcance detallado y

objetivos

Conclusión de

Aseguram

iento

26

CobiTCobiTAssurance Guidelines / Ruta de AseguramientoAssurance Guidelines / Ruta de Aseguramiento

Objetivo de Control(por objetivo de control)

Declaración de Valor(por objetivo de control)

Declaración de Riesgo(por objetivo de control)

Pasos de Aseguramiento para probar el Diseño del Control(para cada objetivo de control)

Pasos de Aseguramiento para probar el Producto de los Objetivos de Control (para cada Proceso)

Pasos de Aseguramiento para Documentar el impacto de las Debilidades de Control (para cada Proceso)

Cada una de las 34 guías presenta esta estructura y se aplica de manera específica a cada uno de los Procesos y Objetivos de control seleccionados en el alcance de la Iniciativa de aseguramiento.

27

CobiTCobiTAssurance Guidelines / Controles Generales VS Controles de AplicAssurance Guidelines / Controles Generales VS Controles de Aplicaciacióónn

Planeación y Organización

Monitoreo y Evaluación

Adquisición e Implementación

Entrega y soporte

Entrega y Soporte

RequerimientosFuncionales

Requerimientosde control

Servicios Automatizados

Controles de Aplicación

Controles Generales de TI

Las guías de aseguramiento diferencian entre controles Generales y Controles de Aplicación

28

29

Risk ITRisk ITLos Principios de Risk ITLos Principios de Risk IT

Gobierno Empresarial efectivo para Riesgos de TI:Siempre se relaciona con objetivos de negocioAlinea la administración de los riesgos relacionadios con TI con la administración general de riesgos de la Empresa Equilibra el costo y los beneficios de la administración de Riesgos

Adminstración efectiva de Riesgos de TI:Promueve una comunicación clara y abierta sobre riesgos de TIEstablece el tono adecuado desde la parte más alta de la empresa al tiempo que define y refuerza la rendición de cuentas personal sobre la operación dentro de niveles de tolerancia bien definidos.Es un proceso contínuo y es parte de las actividades diarias

30

IT RiskIT Risk

Valor de NegocioValor de Negocio

Valor de NegocioValor de Negocio

Falla en Falla en

GenerarGenerarGeneraGenera

PierdePierde PreservaPreserva

31

Risk IT Framework•Presenta una estructura similar al Framework de CobiT•Incluye:

• Prácticas gerenciales• Lineamientos Gerenciales

• Entradas y salidas• Roles (con definición) y

Responsabilidades• Metas y Métricas

• Modelos de Madurez de los Procesos

IT Risk IT Risk Framework Framework ((Dominios y Procesos)Dominios y Procesos)

Gobierno de RiesgosGobierno de Riesgos

22

Integrar Integrar

con ERMcon ERM

1 1

Establecer Establecer

una visiuna visióón n

comcomúún del n del

RiesgoRiesgo

33

Tomar Tomar

decisiones decisiones

conscientes conscientes

del Riesgodel Riesgo

Fundamento Fundamento

de Riesgos de Riesgos

en TIen TI

2 2

Analizar Analizar

RiesgosRiesgos

11

Recolectar Recolectar

DatosDatos

33

Mantener Mantener

el el

Portafolio Portafolio

de Riesgosde Riesgos

22

Administrar Administrar

RiesgosRiesgos

11

Articular Articular

RiesgosRiesgos

3 3

Reaccionar Reaccionar

ante ante

eventoseventos

Responder a RiesgosResponder a Riesgos Evaluar RiesgosEvaluar Riesgos

Comunicación

32

IT RiskIT RiskEscenarios de RiesgoEscenarios de Riesgo

TiempoTiempo

Escenario Escenario de Riesgode Riesgo

•• DuraciDuracióónn•• Tiempo de OcurrenciaTiempo de Ocurrencia•• Tiempo de detecciTiempo de deteccióónn

Activo / RecursoActivo / Recurso

•• Gente y OrganizaciGente y Organizacióónn•• ProcesosProcesos•• InfraestructuraInfraestructura•• Componentes de la Componentes de la

Arquitectura de Negocio Arquitectura de Negocio

AcciAccióónn

•• DivulgaciDivulgacióónn•• InterrupciInterrupcióónn•• ModificaciModificacióónn•• RoboRobo•• DestrucciDestruccióónn•• DiseDiseñño Inefectivoo Inefectivo•• EjecuciEjecucióón n

ineficienteineficiente•• RegulaciRegulacióón n •• Uso inapropiadoUso inapropiado

ActorActor

Tipo de AmenazaTipo de Amenaza

•• InternosInternos•• ExternosExternos

•• MaliciosaMaliciosa•• AccidentalAccidental•• FallaFalla•• NaturalNatural

++

++ ++

++

33

34

Val ITVal ITLos cuatro Los cuatro ““AsesAses””

¿¿Hacemos Hacemos

las cosas las cosas

correctas?correctas?

¿¿Obtenemos Obtenemos

los los

beneficios?beneficios?

¿¿Las Las

hacemos en hacemos en

la forma la forma

adecuada?adecuada?

¿¿Logramos Logramos

hacerlas hacerlas

““bien bien

hechashechas””

Estrategia

Arquitectura

Valor

Entrega

Val IT Framework•Presenta una estructura con un contenido similar al Framework de CobiT•Incluye para cada proceso:

• Entradas y salidas• Roles (con definiciones) y

responsabilidades• Metas y Métricas• Modelos de Madurez• Gobierno del Valor• Administración del Portafolio• Administración de las

Inversiones

35

Val ITVal ITLos Principios de Val ITLos Principios de Val IT

Las inversiones habilitadas por TI serán administradas como un portafolio de inversiones.Las inversiones habilitadas por TI incluirán el alcance completo de las actividades que son requeridas para lograr el valor de negocio.

Las inversiones habilitadas por TI serán administradas a través de su ciclo de vida económico completo.Las prácticas de entrega de valor reconocerán que existen diferentes categorías de inversiones que serán evaluadas y administrada de manera diferente.

Las prácticas de entrega de valor definirán y vigilarán métricas clave y responderán rápidamente a cualquier cambio o desviación.Las prácticas de entrega de valor involucrarán a todos los stakeholders y asignaran apropiadamente la rendición de cuentas sobre la entrega de capacidades y la realización de beneficios de negocio.Las prácticas de entrega de valor serán vigiladas, evaluadas y mejoradas continuamente.

36

Val ITVal ITPrincipales ConceptosPrincipales Conceptos

Valor El (los) resultado(s) final(es) de negocio esperado(s) de una inversión de negocio habilitada por tecnología en donde tal(es) resultado(s) pueden ser financieros, no financieros o una combinación de ambos.

PortafolioUn agrupamiento de programas, proyectos, servicios o activos seleccionados, administrados y vigilados para optimizar el retorno del negocio (notar que el foco inicial en Val IT esta interesado de manera primaria en un portafolio de programas. COBIT esta interesado en portafolios de proyectos, servicios o activos).

ProgramaUn grupo estructurado de proyectos interdependientes que son tanto necesarios como suficientes para lograr los resultados de negocio para generar valor. Estos proyectos podrían incluir, pero no limitarse a cambios en la naturaleza del negocio, procesos de negocio, el trabajo desempeñado por gente, así como las competencias requeridas para llevar al cabo el trabajo, tecnología habilitadora y estructuras organizacionales. El programa de inversión es la unidad primaria de inversión dentro de Val IT.

ProyectoUn conjunto estructurado de actividades concernientes a la entrega de una capacidad definida a la empresa (que es necesaria por NO suficiente para lograr los resultados requeridos por el negocio) basadas en un calendario y presupuestos acordados.

ImplementarIncluye el ciclo de vida económico completo de un programa de inversión, hasta el retiro de la misma. Ie. cuando el valor esperado completo de la inversión es realizado, se ha obtenido tanto valor como se estima posible o cuando se determina que el valor esperado no puede ser realizado y el programa es terminado.

37

Val ITVal ITSus procesosSus procesos

Gobierno Gobierno

del Valordel Valor

((VGVG))

AdministraciAdministracióón n

de Inversionesde Inversiones

((IMIM))

AdministraciAdministracióón n

del Portafoliodel Portafolio

((PMPM))

Su objetivo es optimizar el valor de las inversiones de negocio habilitadas por tecnología de una organización.

Su objetivo es asegurar que el portafolio general de inversiones habilitadas por TI, se encuentre alineado con los objetivos estratégicos de la organización y contribuye con un valor óptimo al logro de los mismos

Su objetivo es asegurar que los programas individuales de inversión habilitada por TI, generan un valor óptimo a un costo accesible con un nivel de riesgo conocido y aceptable

38

RelaciRelacióón Detallada n Detallada GRC Red Book y CobiT Control PracticesGRC Red Book y CobiT Control Practices

39

ReferenciasReferencias

GRC Capability Model “Red Book” 2.0. Open Compliance & Ethics Group (OCEG)

CobiT4.1. IT Governance Institute

IT Assurance Guide. IT Governance Institute

CobiT Control Practices. Guidence to achieve control objectives for succesful

governance. IT Governance Institute.

Enterprise Risk: Identify, Govern and Manage IT Risk. The Risk IT Framework. IT

Governance Institute.

Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. IT

Governance Institute.

IT Governance Implementation Guide Using CobiT and Val IT TM 2nd edition. IT

Governance Institute.

Copyright © 2007 IT Governance Institute.

IT Governance Institute

© Copyright 2006 – 2009 Open Compliance & Ethics Group.

Open & Compliance Group

www.oceg.orgwww.itgi.org

40

CobiT CobiT ®®, Val IT , Val IT ®® y Risk IT y Risk IT ®®en la implementacien la implementacióón de un Modelo de n de un Modelo de

GRCGRC

ISACA Capítulo Monterrey

¡Muchas Gracias!

Gustavo A. Solís, CISA, CISM, CGEIT

gsolis@cynthus.com.mx