Cobit Val IT y Risk IT

download Cobit Val IT y Risk IT

of 40

Transcript of Cobit Val IT y Risk IT

  • 7/25/2019 Cobit Val IT y Risk IT

    1/40

    1

    CobiTCobiT, Val IT, Val ITy Risk ITy Risk ITen la implementacien la implementacin de un Modelo den de un Modelo deGRCGRC

    ISACA Captulo Monterrey

    Presentado porGustavo A. Sols, CISA, CISM, CGEIT

    [email protected]

  • 7/25/2019 Cobit Val IT y Risk IT

    2/40

    2

    QuQu es GRCes GRC

    Definido formalmente, GRC es un sistema depersonas, procesos y tecnologa que permite queuna organizacin:

    Comprenda y priorice expectativas de StakeholdersEstablezca objetivos congruentes con valores y riesgosLogre objetivos al tiempo que optimiza el perfil de riesgos yprotege el valor del negocio.

    Operar dentro de fronteras legales, contractuales, internas,sociales y ticasProveer informacin relevante, confiable y oportuna a losstakeholders apropiados y

    Permitir la medicin del desempeo y la eficacia del sistema

  • 7/25/2019 Cobit Val IT y Risk IT

    3/40

    3

    DesempeDesempeo con Principioso con Principios((Principled PerformancePrincipled Performance))

    Es el resultado de una claraarticulacin entre los objetivos de unaorganizacin y la aplicacin de

    mtodos de GRC, mediante los cualesse establecen fronteras, dentro de lascuales permanece mientras avanzahacia el logro de sus objetivos.Va ms all del desempeo tico, deldesempeo econmico o laresponsabilidad social corporativa.Representa el logro de todos losobjetivos de una organizacin, al

    tiempo que se emplea un enfoqueefectivo, eficiente y responsivo alGobierno, a la Administracin deRiesgos y a Conformidad, el cual

    soporta dichos objetivos

  • 7/25/2019 Cobit Val IT y Risk IT

    4/40

    4

    Las Fronteras de la Conducta CorporativaLas Fronteras de la Conducta Corporativa

    Fronteras ObligatoriasMandatos Externos

    Fronteras VoluntariasMandatos Internos

    Definidas por fuerzas legalesy requerimientos regulatoriosDefinidas por la

    Gerencia

  • 7/25/2019 Cobit Val IT y Risk IT

    5/40

    5

    Resultados UniversalesResultados Universales de un sistema GRC de alto desempede un sistema GRC de alto desempeoo

    Lograr Objetivos de Negocio

    Optimizar la Cultura Organizacional

    Incrementar la Confianza de los Stakeholders

    Preparar y Proteger a la Organizacin

    Prevenir, Detectar & Reducir la Adversidad

    Motivar e Inspirar la Conducta DeseadaMejorar la eficiencia y capacidad de Respuesta

    Optimizar el Valor econmico y Social

    Un sistema de GRC de alto desempeo debe generar los siguientesresultados universales siendo eficaz, eficiente y responsivo.

  • 7/25/2019 Cobit Val IT y Risk IT

    6/40

    6

    Modelo de Capacidades de GRCModelo de Capacidades de GRC

    Organizar yOrganizar y

    SupervisarSupervisar

    Evaluar yEvaluar yAlinearAlinear

    Prevenir yPrevenir yPromoverPromover

    Detectar yDetectar yDiscernirDiscernir

    Responder yResponder yResolverResolver

    Monitorear yMonitorear yMedirMedir

    INFORMAR EINFORMAR EINTEGRARINTEGRAR

  • 7/25/2019 Cobit Val IT y Risk IT

    7/40

    7

    Modelo de Capacidades de GRCModelo de Capacidades de GRC

    Organizar y Supervisar

    Organizar y supervisar el sistema de GRC para que estintegrado con el modelo de operacin de negocio actual ypueda modificarlo cuando sea apropiado.

    Asignar a la Gerencia responsabilidades especficas,autoridad de toma de decisiones y compromiso de rendicinde cuentas para lograr las metas del Sistema

    Resultados y Compromiso

    Roles y ResponsabilidadesEnfoque y Rendicin de Cuentas

  • 7/25/2019 Cobit Val IT y Risk IT

    8/40

    8

    ContenidoContenido

    Introduccin a GRCQu es GRCEl concepto de Desempeo con Principios (Principled Performance)

    Otros componentes crticos de GRCCaractersticas del GRC

    El modelo de Capacidades de GRCLos Frameworks de ISACA como base de un modelo GRC

    Productos CobiT para implementar un sistema de GRC de TIComponentes de los Frameworks aplicados al GRCCobiTVal IT

    Risk ITConclusiones

  • 7/25/2019 Cobit Val IT y Risk IT

    9/40

    9

    Modelo de Capacidades de GRCModelo de Capacidades de GRC

    Evaluar y AlinearEvaluar riesgos y optimizar el perfil de riesgos organizacionalescon un portafolio de iniciativas, tcticas y actividades

    Identificacin de Riesgos

    Anlisis de RiesgosOptimizacin de Riesgos

    Prevenir y Promover

    Promover y motivar la conducta deseable y prevenir eventos yactividades no deseados utilizando una mezcla de controles einiciativas

    Cdigos de ConductaPolticas

    Controles PreventivosConciencia y EducacinIncentivos de Capital HumanoRelaciones y Requerimientos de StakeholdersFinanciamiento de Riesgos / Seguros

  • 7/25/2019 Cobit Val IT y Risk IT

    10/40

    10

    Modelo de Capacidades de GRCModelo de Capacidades de GRC

    Detectar y Discernir

    Detectar conductas y eventos indeseables tanto potencialescomo actuales, as como debilidades del Sistema ypreocupaciones de Stakeholders utilizando una amplia red de

    recopilacin de informacin y tcnicas de anlisisMesa de Servicio (Hotline) y NotificacinConsulta y Encuesta (Survey)Controles Detectivos

  • 7/25/2019 Cobit Val IT y Risk IT

    11/40

    11

    Modelo de Capacidades de GRCModelo de Capacidades de GRC

    Responder y ResolverResponder a, y recuperarse de eventos de conducta tica nodeseada o de incumplimiento o de fallas del Sistema de GRC, para

    que la organizacin resuelva cada aspecto inmediato y prevenga oresuelva aspectos similares de formas ms eficiente y eficaz en el

    futuro.Revisin Interna e InvestigacinConsultas e Investigaciones de TercerosControles CorrectivosRespuesta a Crisis y Recuperacin

    Remediacin y DisciplinaMonitorear y Medir

    Monitorear, medir y modificar el sistema GRC de forma peridica yconsistente para asegurar que contribuye a los objetivos de

    negocio, siendo eficiente, eficaz y responsivo a cambios en elambienteMonitoreo de ContextoMonitoreo de Desempeo y EvaluacinMejora Sistemtica

    Aseguramiento

  • 7/25/2019 Cobit Val IT y Risk IT

    12/40

    12

    Modelo de Capacidades de GRCModelo de Capacidades de GRC

    Contexto y CulturaComprender la cultura actual y el contexto interno y externoen el que opera la organizacin para que el sistema de GRCpueda orientarse a realidades actuales (e identificar

    oportunidades para afectar el contexto y ser ms congruentecon los resultados organizacionales deseados).

    Contexto Externo del NegocioContexto Interno del Negocio

    CulturaValores y Objetivos

    Informar IntegrarCapturar, documentar y administrar informacin de GRC paraque fluya de forma eficiente y precisa vertical yhorizontalmente a travs de la empresa extendida y hacia losStakeholders externos

    Administracin de Informacin y DocumentacinComunicaciones Internas y Externas

    Tecnologa e Infraestructura

  • 7/25/2019 Cobit Val IT y Risk IT

    13/40

    13

    Otros componentes CrOtros componentes Crticos de GRCticos de GRC

    GobiernoGobierno

    AdmAdmn. den. de

    RiesgosRiesgosConformidadConformidad

    Aseguramiento

    Aseguramiento

    ControlControl

    GenteGente

  • 7/25/2019 Cobit Val IT y Risk IT

    14/40

    14

    GRC es para toda la empresaGRC es para toda la empresa

    PlanearPlanear

    Ventas

    VentasProduc

    ir

    Produc

    irCom

    pras

    Com

    pras

    R.H.

    R.H.

    Conta

    b..

    Conta

    b..

    Legal

    Legal

    Rel.Pub.

    Rel.Pub.Ecolog

    Ecologaa

    M

    arketing

    M

    arketing

    Se

    guridad

    Se

    guridad

    Proyecto

    s

    Proyecto

    s

    Calid

    ad

    Calid

    ad

    Tesorer

    Tesoreraa

    Servicio

    Servicio

    TITI

    AdmAdmn. den. deRiesgosRiesgos

    ConformidadConformidad

    GobiernoGobierno

  • 7/25/2019 Cobit Val IT y Risk IT

    15/40

    15

    Los Frameworksdel ITGI

  • 7/25/2019 Cobit Val IT y Risk IT

    16/40

    16

    CobiT ExtendidoCobiT ExtendidoLos tresLos tres FrameworksFrameworksdel ITGIdel ITGI

    AdministraciAdministracinn

    dede RiesgosRiesgos

    AdministraciAdministracinn

    deldel ValorValor

    Evaluar RiesgosEvaluar Riesgosyy

    OportunidadesOportunidades

    EventosEventos

    relacionadosrelacionados

    con TIcon TI

    ActividadesActividades

    de TIde TI

    Risk IT Val IT

    Dirige

    Dir

    ige

    Dirige

    Dirige

    CobiT

  • 7/25/2019 Cobit Val IT y Risk IT

    17/40

    17

    Elementos del ITGI relacionados con GRCElementos del ITGI relacionados con GRC

    GovernanceGobierno de TI

    Gobierno de seguridad de Informacin

    CobiT(v4.1)

    Framework de ControlObjetivos de Control (controles generales)Prcticas de Control

    Lineamientos GerencialesGua de AseguramientoCobit y Controles de Aplicacin

    Val IT (v2.0)

    Risk IT (v1.0)

  • 7/25/2019 Cobit Val IT y Risk IT

    18/40

    18

    Productos CobiT para Apalancar un sistema de GRC de TIProductos CobiT para Apalancar un sistema de GRC de TI

    Organizar yOrganizar ySupervisarSupervisar

    Evaluar yEvaluar yAlinearAlinear

    Prevenir yPrevenir yPromoverPromover

    Detectar yDetectar yDiscernirDiscernir

    Responder yResponder yResolverResolver

    Cultura yCultura yContextoContexto

    Informar eInformar eIntegrarIntegrar

    AssuranceAssuranceGuideGuide

    ControlControlPracticesPractices

    ManagementManagementGuidelinesGuidelines

    ControlControlObjetivesObjetives

    ITITGovernanceGovernanceImplement..Implement..

    GuideGuide

    Val ITVal ITRisk ITRisk IT

    Monitorear yMonitorear y

    MedirMedir

    DirectoIndirecto

    Contextual

  • 7/25/2019 Cobit Val IT y Risk IT

    19/40

    19

    CobiTCobiTIT Governance Implementation GuideIT Governance Implementation Guide

    Qu contiene.

    La Ruta hacia el Gobierno de TIEs una gua para implementarGobierno de TI utilizando losframeworksde CobiT y de Val ITreas Focales de Gobierno de TI.

    Ciclo de Vida del Gobierno de TIEl Ambiente del Gobierno de TILos Stakeholders del Gobierno de TI

    Dominiosde

    Gobiernode TI

    Aline

    amien

    to

    Estra

    tgico

    GeneracindeValor

    Administra

    ci

    n

    de

    Rie

    sgo

    s

    Administracin

    de Recursos

    Medic

    inde

    D

    esemp

    eo

    Herramientas para autoevaluacin, mediciny diagnstico:

    Dos diagnsticos de conciencia gerencialHerramienta para medicin de madurezFormatos de evaluacin de objetivos de

    Control MyCOBIT.Temas para diagnstico de factores riesgoTemas para diagnstico de objetivos de

    control

  • 7/25/2019 Cobit Val IT y Risk IT

    20/40

    20

    Control Objectives for Informationand related Technologies

  • 7/25/2019 Cobit Val IT y Risk IT

    21/40

    21

    CobiTCobiTDominios, Recursos y CriteriosDominios, Recursos y Criterios

    OBJETIVOS DEL NEGOCIOOBJETIVOS DE GOBIERNO

    Eficiencia

    AplicacionesInformacin

    InfraestructuraPersonas

    ENTREGARY DAR

    SOPORTE

    MONITOREARY

    EVALUAR

    ADQUIRIRE

    IMPLEMENTAR

    INFORMACION

    RECURSOSDETI

    MARCO DE TRABAJOC O B I T

    Efectividad

    Confidencialidad

    Integridad

    Disponibilidad

    Cumplimiento

    PLANEARy

    ORGANIZAR

    Confiabilidad

    DS1 Definir y administrar niveles deservicios.

    DS2 Administrar servicios de terceros.DS3 Administrar desempeo y capacidad.

    DS4 Garantizar la continuidad del servicio.

    DS5 Garantizar la seguridad de lossistemas.DS6 Identificar y asignar costos.DS7 Educar y entrenar a los usuarios.DS8 Administrar la mesa de servicio y los

    incidentes.DS9 Administrar la configuracin.DS10 Administrar los problemas.

    DS11 Administrar los datos.DS12 Administrar el ambiente fsico.DS13 Administrar las operaciones.

    ME1 Monitorear y evaluar el desempeode TI.

    ME2 Monitorear y evaluar el controlinterno.

    ME3 Garantizar Cumplimientoregulatorio.

    ME4 Proporcionar Gobierno deTI.

    PO1 Definir el plan estratgico de TI.

    PO2 Definir la arquitectura de la informacin.PO3 Determinar la direccin tecnolgica.PO4 Definir procesos, organizacin y

    relaciones de TI.

    PO5 Administrar la inversin en TI.PO6 Comunicar la direccin y de lasaspiraciones y la direccin de lagerencia.

    PO7 Administrar recursos humanos de TI.PO8 Administrar calidad.

    PO9 Evaluar y administrar Riesgosde TI.

    PO10 Administrar proyectos.

    AI1 Identificar soluciones automatizadas.AI2 Adquirir y mantener el software

    aplicativo.AI3 Adquirir y mantener la

    infraestructura tecnolgica.AI4 Facilitar la operacin y el uso.AI5 Adquirir recursos de TI.

    AI6 Administrar cambios.AI7 Instalar y acreditar soluciones y

    cambios.

  • 7/25/2019 Cobit Val IT y Risk IT

    22/40

    22

    CobiTCobiTMatriz RACI: AsignaciMatriz RACI: Asignacin de responsabilidades por Rol / PO10n de responsabilidades por Rol / PO10

    Definir un marco de trabajo deprogramas/portafolio para inversiones en TI.

    C C A R C C

    Establecer y mantener un marco de trabajo parala administracin de proyectos de TI.

    I I I A/R I C C C C R C

    Establecer y mantener un sistema de monitoreo,

    medicin y administracin de sistemas. I I I R C C C C A/R CElaborar contratos de proyectos, cronogramas,planes de calidad, presupuestos y planes decomunicacin y administracin de riesgos.

    C C C C C C C A/R C

    Asegurar la participacin y el compromiso de losstakeholders del proyecto.

    I A R C C

    Asegurar el control efectivos de proyectos y decambios a proyectos.

    C C C C C A/R C

    Definir e implementar mtodos de revisin yaseguramiento de proyectos.

    I C I A/R C

    CEO

    CFO

    Ejecutiv

    osd

    elN

    egocio

    CIO Due

    oP

    roc.

    Neg

    ocio

    Direc

    cin

    Ope

    raci

    ones

    Arq

    uite

    cto

    Jefe

    Dire

    cci

    nD

    esar

    rollo

    Dire

    cci

    nA

    dm.T

    I

    PMO

    Diagrama RACI para PO10

    Funcio

    nes

    Actividades

    Un diagrama RACI para cada proceso identifica quin es Responsable, Debe Rendir Cuentas, es Consultado, y/o esInformado

    Cum

    plim

    ient

    o,R

    iesgo,

    Cum

    plim

    ient

    o,R

    iesgo

    ,

    Aud

    itor

    Aud

    itora

    ,Seg

    urid

    ad

    a,S

    egurid

    ad

    Cum

    plim

    ient

    o,R

    iesgo

    ,

    Aud

    itora,

    Seg

    urid

    ad

  • 7/25/2019 Cobit Val IT y Risk IT

    23/40

    23

    CobiTCobiTManagement Guidelines: IndicadoresManagement Guidelines: Indicadores

    Define Metas

    MideLogros

    Dirige Desempeo

    Mejora

    yrealinea

    Meta de Actividad Meta de Proceso Meta de TI Meta de Negocio

    es medido mediante es medido mediante es medido mediante es medido mediante

    KPI Mtrica de Proceso KGI

    KPI Mtrica de TI KGI

    KPI Mtrica de Negocio KGI

    Comprender

    requerimientos,

    vulnerabilidades y

    amenazas deseguridad

    Frecuencia de

    revisin del tipo de

    eventos deseguridad a ser

    monitoreados

    Nmero de

    violaciones de

    acceso

    Nmero de

    incidentes de TI

    que realmenteimpactan el

    negocio

    Nmero deincidentes que

    provocansituacionespblicas

    embarazosas

    Detectar y resolveraccesos no

    autorizados a

    informacin,aplicaciones einfraestructura

    Asegurar que los

    servicios de TI

    pueden resistir y

    recobrarse deataques

    Mantener la

    reputacin y

    liderazgo de la

    empresa

  • 7/25/2019 Cobit Val IT y Risk IT

    24/40

    24

    CobiTCobiTModelos de Madurez y BenchmarkingModelos de Madurez y Benchmarking

    Los Modelos de Madurez proveen una escala para medir comparativamente las prcticas dela compaa contra los estndares y directrices de la industria. Un modelo de madurez esuna medida que le permite a la organizacin calificar su madurez para un proceso especficodesde no existente (0) hasta optimizado (5).

    No existente Inicial Repetible Definido Administrado Optimizado

    0 1 2 3 4

    Leyenda para los smbolos utilizados Descripcin de niveles de madurez

    0- Los procesos adminstrativos no se aplican del todo.1- Los procesos son ad hocy desorganizados.2- Los procesos siguen un patrn regular.3- Los procesos se documentan y comunican.4- Los procesos son monitoreados y medidos.5- Se aplican buenas prcticas y automatizacin.

    Estatus actual de la empresa

    Promedio de la industria

    Meta de la empresa

    5

  • 7/25/2019 Cobit Val IT y Risk IT

    25/40

    25

    CobiTCobiTAssurance Guidelines / Ruta de AseguramientoAssurance Guidelines / Ruta de Aseguramiento

    Planeac

    in

    Dim

    ensionamiento

    Ejecucin

    Establecer el Universo del Aseguramiento de TI Seleccionar un marco de trabajo de control de TI Desarrollar una planeacin de aseguramiento basada en riesgo.

    Realizar una evaluacin de alto nivel Dimensionar y definir los objetivos de alto nivel para la Iniciativa

    Dimensionar y planear iniciativas de aseguramiento

    Seleccionar los objetivos de control para procesos crticos Personalizar objetivos de control

    Refinar elentendi_miento delObjeto deAseguram. deTI

    Refinar elalcance deobjetivos decontrol clavepara elobjeto deAseguram.de TI

    Probar laefectividadde diseodel controlde losobjetivos decontrolclave.

    Probar losproductos delos objetivosde controlclave

    Documentar elimpacto de lasdebilidades decontrol.

    Desarrollar ycomunicarconclusionesgenerales ysugerencias.

    Planesde

    aseguramientodeTI

    Alcanc

    edetalladoy

    o

    bjetivos

    Conclusinde

    Aseguramiento

  • 7/25/2019 Cobit Val IT y Risk IT

    26/40

    26

    CobiTCobiTAssurance Guidelines / Ruta de AseguramientoAssurance Guidelines / Ruta de Aseguramiento

    Objetivo de Control(por objetivo de control)

    Declaracin de Valor(por objetivo de control)

    Declaracin de Riesgo(por objetivo de control)

    Pasos de Aseguramiento para probar el Diseo del Control

    (para cada objetivo de control)

    Pasos de Aseguramiento para probar el Producto de los Objetivos deControl (para cada Proceso)

    Pasos de Aseguramiento para Documentar el impacto de las Debilidadesde Control (para cada Proceso)

    Cada una de las 34 guas presenta esta estructura y se aplica de maneraespecfica a cada uno de los Procesos y Objetivos de control seleccionadosen el alcance de la Iniciativa de aseguramiento.

  • 7/25/2019 Cobit Val IT y Risk IT

    27/40

    27

    CobiTCobiTAssurance Guidelines / Controles Generales VS Controles de AplicAssurance Guidelines / Controles Generales VS Controles de Aplicaciacinn

    Planeacin y Organizacin

    Monitoreo y Evaluacin

    Adquisicin eImplementacin

    Entrega ysoporte

    Entrega ySoporte

    RequerimientosFuncionales

    Requerimientosde control

    ServiciosAutomatizados

    Controles de Aplicacin

    Controles Generales de TI

    Las guas de aseguramiento diferencian entrecontroles Generales y Controles de Aplicacin

  • 7/25/2019 Cobit Val IT y Risk IT

    28/40

    28

  • 7/25/2019 Cobit Val IT y Risk IT

    29/40

    29

    Risk ITRisk ITLos Principios de Risk ITLos Principios de Risk IT

    Gobierno Empresarial efectivo para Riesgos de TI:Siempre se relaciona con objetivos de negocioAlinea la administracin de los riesgos relacionadios con TI con

    la administracin general de riesgos de la EmpresaEquilibra el costo y los beneficios de la administracin deRiesgos

    Adminstracin efectiva de Riesgos de TI:

    Promueve una comunicacin clara y abierta sobre riesgos de TIEstablece el tono adecuado desde la parte ms alta de laempresa al tiempo que define y refuerza la rendicin de cuentaspersonal sobre la operacin dentro de niveles de tolerancia bien

    definidos.Es un proceso contnuo y es parte de las actividades diarias

  • 7/25/2019 Cobit Val IT y Risk IT

    30/40

    30

    IT RiskIT Risk

    Valor de NegocioValor de Negocio

    Valor de NegocioValor de Negocio

    Falla enFalla en

    GenerarGenerarGeneraGenera

    PierdePierde PreservaPreserva

    IT Ri kIT Ri k

  • 7/25/2019 Cobit Val IT y Risk IT

    31/40

    31

    Risk IT FrameworkPresenta una estructura similar alFramework de CobiTIncluye:

    Prcticas gerenciales

    Lineamientos Gerenciales Entradas y salidas Roles (con definicin) y

    Responsabilidades Metas y Mtricas

    Modelos de Madurez de losProcesos

    IT RiskIT RiskFrameworkFramework ((Dominios y Procesos)Dominios y Procesos)

    Gobierno de RiesgosGobierno de Riesgos

    22

    IntegrarIntegrarcon ERMcon ERM

    11

    EstablecerEstablecer

    una visiuna visinn

    comcomn deln del

    RiesgoRiesgo

    33

    TomarTomar

    decisionesdecisiones

    conscientesconscientes

    del Riesgodel Riesgo

    FundamentoFundamento

    de Riesgosde Riesgos

    en TIen TI

    22AnalizarAnalizar

    RiesgosRiesgos

    11

    RecolectarRecolectarDatosDatos

    33

    MantenerMantener

    elelPortafolioPortafolio

    de Riesgosde Riesgos

    22

    AdministrarAdministrarRiesgosRiesgos

    11

    ArticularArticular

    RiesgosRiesgos

    33

    ReaccionarReaccionaranteante

    eventoseventos

    Responder a RiesgosResponder a Riesgos Evaluar RiesgosEvaluar Riesgos

    Comunicacin

  • 7/25/2019 Cobit Val IT y Risk IT

    32/40

    32

    IT RiskIT RiskEscenarios de RiesgoEscenarios de Riesgo

    TiempoTiempo

    EscenarioEscenariode Riesgode Riesgo

    DuraciDuracinn

    Tiempo de OcurrenciaTiempo de Ocurrencia Tiempo de detecciTiempo de deteccinn

    Activo / RecursoActivo / Recurso Gente y OrganizaciGente y Organizacinn ProcesosProcesos InfraestructuraInfraestructura Componentes de laComponentes de la

    Arquitectura de NegocioArquitectura de Negocio

    AcciAccinn DivulgaciDivulgacinn InterrupciInterrupcinn ModificaciModificacinn RoboRobo DestrucciDestruccinn

    DiseDiseo Inefectivoo Inefectivo EjecuciEjecucinn

    ineficienteineficiente RegulaciRegulacinn Uso inapropiadoUso inapropiado

    ActorActor

    Tipo de AmenazaTipo de Amenaza

    InternosInternos ExternosExternos

    MaliciosaMaliciosa AccidentalAccidental FallaFalla NaturalNatural

    ++

    ++ ++

    ++

  • 7/25/2019 Cobit Val IT y Risk IT

    33/40

    33

    V l ITV l IT

  • 7/25/2019 Cobit Val IT y Risk IT

    34/40

    34

    Val ITVal ITLos cuatroLos cuatro AsesAses

    HacemosHacemoslas cosaslas cosas

    correctas?correctas?

    ObtenemosObtenemosloslos

    beneficios?beneficios?

    LasLashacemos enhacemos en

    la formala forma

    adecuada?adecuada?

    LogramosLogramos

    hacerlashacerlas

    bienbienhechashechas

    Estrategia

    Arquitectura

    Valor

    Entrega

    Val IT FrameworkPresenta una estructura con uncontenido similar al Framework deCobiT

    Incluye para cada proceso: Entradas y salidas Roles (con definiciones) y

    responsabilidades Metas y Mtricas Modelos de Madurez Gobierno del Valor Administracin del Portafolio Administracin de las

    Inversiones

    Val ITVal IT

  • 7/25/2019 Cobit Val IT y Risk IT

    35/40

    35

    Val ITVal ITLos Principios de Val ITLos Principios de Val IT

    Las inversiones habilitadas por TI sern administradas como unportafolio de inversiones.Las inversiones habilitadas por TI incluirn el alcance completo de lasactividades que son requeridas para lograr el valor de negocio.

    Las inversiones habilitadas por TI sern administradas a travs de suciclo de vida econmico completo.Las prcticas de entrega de valor reconocern que existen diferentescategoras de inversiones que sern evaluadas y administrada demanera diferente.

    Las prcticas de entrega de valor definirn y vigilarn mtricas clave yrespondern rpidamente a cualquier cambio o desviacin.Las prcticas de entrega de valor involucrarn a todos losstakeholders y asignaran apropiadamente la rendicin de cuentassobre la entrega de capacidades y la realizacin de beneficios denegocio.Las prcticas de entrega de valor sern vigiladas, evaluadas ymejoradas continuamente.

    Val ITVal IT

  • 7/25/2019 Cobit Val IT y Risk IT

    36/40

    36

    Val ITVal ITPrincipales ConceptosPrincipales Conceptos

    ValorEl (los) resultado(s) final(es) de negocio esperado(s) de una inversin de negociohabilitada por tecnologa en donde tal(es) resultado(s) pueden ser financieros, no financieroso una combinacin de ambos.

    PortafolioUn agrupamiento de programas, proyectos, servicios o activos seleccionados, administrados yvigilados para optimizar el retorno del negocio (notar que el foco inicial en Val IT estainteresado de manera primaria en un portafolio de programas. COBIT esta interesado enportafolios de proyectos, servicios o activos).

    ProgramaUn grupo estructurado de proyectos interdependientes que son tanto necesarios comosuficientes para lograr los resultados de negocio para generar valor. Estos proyectos podran

    incluir, pero no limitarse a cambios en la naturaleza del negocio, procesos de negocio, eltrabajo desempeado por gente, as como las competencias requeridas para llevar al cabo eltrabajo, tecnologa habilitadora y estructuras organizacionales. El programa de inversin es launidad primaria de inversin dentro de Val IT.

    ProyectoUn conjunto estructurado de actividades concernientes a la entrega de una capacidad definida

    a la empresa (que es necesaria por NO suficiente para lograr los resultados requeridospor el negocio) basadas en un calendario y presupuestos acordados.Implementar

    Incluye el ciclo de vida econmico completo de un programa de inversin, hasta el retirode la misma. Ie. cuando el valor esperado completo de la inversin es realizado, se haobtenido tanto valor como se estima posible o cuando se determina que el valor esperado nopuede ser realizado y el programa es terminado.

    Val ITVal IT

  • 7/25/2019 Cobit Val IT y Risk IT

    37/40

    37

    Val ITVal ITSus procesosSus procesos

    GobiernoGobierno

    del Valordel Valor

    ((VGVG))

    AdministraciAdministracinn

    de Inversionesde Inversiones((IMIM))

    AdministraciAdministracinn

    del Portafoliodel Portafolio((PMPM))

    Su objetivo es optimizar el valor delas inversiones de negociohabilitadas por tecnologa de unaorganizacin.

    Su objetivo es asegurar que elportafolio general deinversiones habilitadas por TI,se encuentre alineado con losobjetivos estratgicos de laorganizacin y contribuye conun valor ptimo al logro de losmismos

    Su objetivo es asegurarque los programasindividuales de inversinhabilitada por TI,generan un valor ptimoa un costo accesible conun nivel de riesgoconocido y aceptable

    RelaciRelacin Detalladan Detallada

  • 7/25/2019 Cobit Val IT y Risk IT

    38/40

    38

    RelaciRelacin Detalladan DetalladaGRC Red Book y CobiT Control PracticesGRC Red Book y CobiT Control Practices

    R f iR f i

  • 7/25/2019 Cobit Val IT y Risk IT

    39/40

    39

    ReferenciasReferencias

    GRC Capability Model Red Book 2.0. Open Compliance & Ethics Group (OCEG)

    CobiT4.1. IT Governance Institute

    IT Assurance Guide. IT Governance Institute

    CobiT Control Practices. Guidence to achieve control objectives for succesful

    governance. IT Governance Institute.

    Enterprise Risk: Identify, Govern and Manage IT Risk. The Risk IT Framework. ITGovernance Institute.

    Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. IT

    Governance Institute.

    IT Governance Implementation Guide Using CobiT and Val IT TM 2nd edition. IT

    Governance Institute.

    Copyright 2007 IT Governance Institute.

    IT Governance Institute

    Copyright 2006 2009 Open Compliance &Ethics Group.

    Open & Compliance Group

    www.oceg.orgwww.itgi.org

  • 7/25/2019 Cobit Val IT y Risk IT

    40/40

    40

    CobiTCobiT, Val IT, Val ITy Risk ITy Risk ITen la implementacien la implementacin de un Modelo den de un Modelo de

    GRCGRC

    ISACA Captulo Monterrey

    Muchas Gracias!

    Gustavo A. Sols, CISA, CISM, CGEIT

    [email protected]