Download - Cobit Val IT y Risk IT
-
7/25/2019 Cobit Val IT y Risk IT
1/40
1
CobiTCobiT, Val IT, Val ITy Risk ITy Risk ITen la implementacien la implementacin de un Modelo den de un Modelo deGRCGRC
ISACA Captulo Monterrey
Presentado porGustavo A. Sols, CISA, CISM, CGEIT
-
7/25/2019 Cobit Val IT y Risk IT
2/40
2
QuQu es GRCes GRC
Definido formalmente, GRC es un sistema depersonas, procesos y tecnologa que permite queuna organizacin:
Comprenda y priorice expectativas de StakeholdersEstablezca objetivos congruentes con valores y riesgosLogre objetivos al tiempo que optimiza el perfil de riesgos yprotege el valor del negocio.
Operar dentro de fronteras legales, contractuales, internas,sociales y ticasProveer informacin relevante, confiable y oportuna a losstakeholders apropiados y
Permitir la medicin del desempeo y la eficacia del sistema
-
7/25/2019 Cobit Val IT y Risk IT
3/40
3
DesempeDesempeo con Principioso con Principios((Principled PerformancePrincipled Performance))
Es el resultado de una claraarticulacin entre los objetivos de unaorganizacin y la aplicacin de
mtodos de GRC, mediante los cualesse establecen fronteras, dentro de lascuales permanece mientras avanzahacia el logro de sus objetivos.Va ms all del desempeo tico, deldesempeo econmico o laresponsabilidad social corporativa.Representa el logro de todos losobjetivos de una organizacin, al
tiempo que se emplea un enfoqueefectivo, eficiente y responsivo alGobierno, a la Administracin deRiesgos y a Conformidad, el cual
soporta dichos objetivos
-
7/25/2019 Cobit Val IT y Risk IT
4/40
4
Las Fronteras de la Conducta CorporativaLas Fronteras de la Conducta Corporativa
Fronteras ObligatoriasMandatos Externos
Fronteras VoluntariasMandatos Internos
Definidas por fuerzas legalesy requerimientos regulatoriosDefinidas por la
Gerencia
-
7/25/2019 Cobit Val IT y Risk IT
5/40
5
Resultados UniversalesResultados Universales de un sistema GRC de alto desempede un sistema GRC de alto desempeoo
Lograr Objetivos de Negocio
Optimizar la Cultura Organizacional
Incrementar la Confianza de los Stakeholders
Preparar y Proteger a la Organizacin
Prevenir, Detectar & Reducir la Adversidad
Motivar e Inspirar la Conducta DeseadaMejorar la eficiencia y capacidad de Respuesta
Optimizar el Valor econmico y Social
Un sistema de GRC de alto desempeo debe generar los siguientesresultados universales siendo eficaz, eficiente y responsivo.
-
7/25/2019 Cobit Val IT y Risk IT
6/40
6
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Organizar yOrganizar y
SupervisarSupervisar
Evaluar yEvaluar yAlinearAlinear
Prevenir yPrevenir yPromoverPromover
Detectar yDetectar yDiscernirDiscernir
Responder yResponder yResolverResolver
Monitorear yMonitorear yMedirMedir
INFORMAR EINFORMAR EINTEGRARINTEGRAR
-
7/25/2019 Cobit Val IT y Risk IT
7/40
7
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Organizar y Supervisar
Organizar y supervisar el sistema de GRC para que estintegrado con el modelo de operacin de negocio actual ypueda modificarlo cuando sea apropiado.
Asignar a la Gerencia responsabilidades especficas,autoridad de toma de decisiones y compromiso de rendicinde cuentas para lograr las metas del Sistema
Resultados y Compromiso
Roles y ResponsabilidadesEnfoque y Rendicin de Cuentas
-
7/25/2019 Cobit Val IT y Risk IT
8/40
8
ContenidoContenido
Introduccin a GRCQu es GRCEl concepto de Desempeo con Principios (Principled Performance)
Otros componentes crticos de GRCCaractersticas del GRC
El modelo de Capacidades de GRCLos Frameworks de ISACA como base de un modelo GRC
Productos CobiT para implementar un sistema de GRC de TIComponentes de los Frameworks aplicados al GRCCobiTVal IT
Risk ITConclusiones
-
7/25/2019 Cobit Val IT y Risk IT
9/40
9
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Evaluar y AlinearEvaluar riesgos y optimizar el perfil de riesgos organizacionalescon un portafolio de iniciativas, tcticas y actividades
Identificacin de Riesgos
Anlisis de RiesgosOptimizacin de Riesgos
Prevenir y Promover
Promover y motivar la conducta deseable y prevenir eventos yactividades no deseados utilizando una mezcla de controles einiciativas
Cdigos de ConductaPolticas
Controles PreventivosConciencia y EducacinIncentivos de Capital HumanoRelaciones y Requerimientos de StakeholdersFinanciamiento de Riesgos / Seguros
-
7/25/2019 Cobit Val IT y Risk IT
10/40
10
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Detectar y Discernir
Detectar conductas y eventos indeseables tanto potencialescomo actuales, as como debilidades del Sistema ypreocupaciones de Stakeholders utilizando una amplia red de
recopilacin de informacin y tcnicas de anlisisMesa de Servicio (Hotline) y NotificacinConsulta y Encuesta (Survey)Controles Detectivos
-
7/25/2019 Cobit Val IT y Risk IT
11/40
11
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Responder y ResolverResponder a, y recuperarse de eventos de conducta tica nodeseada o de incumplimiento o de fallas del Sistema de GRC, para
que la organizacin resuelva cada aspecto inmediato y prevenga oresuelva aspectos similares de formas ms eficiente y eficaz en el
futuro.Revisin Interna e InvestigacinConsultas e Investigaciones de TercerosControles CorrectivosRespuesta a Crisis y Recuperacin
Remediacin y DisciplinaMonitorear y Medir
Monitorear, medir y modificar el sistema GRC de forma peridica yconsistente para asegurar que contribuye a los objetivos de
negocio, siendo eficiente, eficaz y responsivo a cambios en elambienteMonitoreo de ContextoMonitoreo de Desempeo y EvaluacinMejora Sistemtica
Aseguramiento
-
7/25/2019 Cobit Val IT y Risk IT
12/40
12
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Contexto y CulturaComprender la cultura actual y el contexto interno y externoen el que opera la organizacin para que el sistema de GRCpueda orientarse a realidades actuales (e identificar
oportunidades para afectar el contexto y ser ms congruentecon los resultados organizacionales deseados).
Contexto Externo del NegocioContexto Interno del Negocio
CulturaValores y Objetivos
Informar IntegrarCapturar, documentar y administrar informacin de GRC paraque fluya de forma eficiente y precisa vertical yhorizontalmente a travs de la empresa extendida y hacia losStakeholders externos
Administracin de Informacin y DocumentacinComunicaciones Internas y Externas
Tecnologa e Infraestructura
-
7/25/2019 Cobit Val IT y Risk IT
13/40
13
Otros componentes CrOtros componentes Crticos de GRCticos de GRC
GobiernoGobierno
AdmAdmn. den. de
RiesgosRiesgosConformidadConformidad
Aseguramiento
Aseguramiento
ControlControl
GenteGente
-
7/25/2019 Cobit Val IT y Risk IT
14/40
14
GRC es para toda la empresaGRC es para toda la empresa
PlanearPlanear
Ventas
VentasProduc
ir
Produc
irCom
pras
Com
pras
R.H.
R.H.
Conta
b..
Conta
b..
Legal
Legal
Rel.Pub.
Rel.Pub.Ecolog
Ecologaa
M
arketing
M
arketing
Se
guridad
Se
guridad
Proyecto
s
Proyecto
s
Calid
ad
Calid
ad
Tesorer
Tesoreraa
Servicio
Servicio
TITI
AdmAdmn. den. deRiesgosRiesgos
ConformidadConformidad
GobiernoGobierno
-
7/25/2019 Cobit Val IT y Risk IT
15/40
15
Los Frameworksdel ITGI
-
7/25/2019 Cobit Val IT y Risk IT
16/40
16
CobiT ExtendidoCobiT ExtendidoLos tresLos tres FrameworksFrameworksdel ITGIdel ITGI
AdministraciAdministracinn
dede RiesgosRiesgos
AdministraciAdministracinn
deldel ValorValor
Evaluar RiesgosEvaluar Riesgosyy
OportunidadesOportunidades
EventosEventos
relacionadosrelacionados
con TIcon TI
ActividadesActividades
de TIde TI
Risk IT Val IT
Dirige
Dir
ige
Dirige
Dirige
CobiT
-
7/25/2019 Cobit Val IT y Risk IT
17/40
17
Elementos del ITGI relacionados con GRCElementos del ITGI relacionados con GRC
GovernanceGobierno de TI
Gobierno de seguridad de Informacin
CobiT(v4.1)
Framework de ControlObjetivos de Control (controles generales)Prcticas de Control
Lineamientos GerencialesGua de AseguramientoCobit y Controles de Aplicacin
Val IT (v2.0)
Risk IT (v1.0)
-
7/25/2019 Cobit Val IT y Risk IT
18/40
18
Productos CobiT para Apalancar un sistema de GRC de TIProductos CobiT para Apalancar un sistema de GRC de TI
Organizar yOrganizar ySupervisarSupervisar
Evaluar yEvaluar yAlinearAlinear
Prevenir yPrevenir yPromoverPromover
Detectar yDetectar yDiscernirDiscernir
Responder yResponder yResolverResolver
Cultura yCultura yContextoContexto
Informar eInformar eIntegrarIntegrar
AssuranceAssuranceGuideGuide
ControlControlPracticesPractices
ManagementManagementGuidelinesGuidelines
ControlControlObjetivesObjetives
ITITGovernanceGovernanceImplement..Implement..
GuideGuide
Val ITVal ITRisk ITRisk IT
Monitorear yMonitorear y
MedirMedir
DirectoIndirecto
Contextual
-
7/25/2019 Cobit Val IT y Risk IT
19/40
19
CobiTCobiTIT Governance Implementation GuideIT Governance Implementation Guide
Qu contiene.
La Ruta hacia el Gobierno de TIEs una gua para implementarGobierno de TI utilizando losframeworksde CobiT y de Val ITreas Focales de Gobierno de TI.
Ciclo de Vida del Gobierno de TIEl Ambiente del Gobierno de TILos Stakeholders del Gobierno de TI
Dominiosde
Gobiernode TI
Aline
amien
to
Estra
tgico
GeneracindeValor
Administra
ci
n
de
Rie
sgo
s
Administracin
de Recursos
Medic
inde
D
esemp
eo
Herramientas para autoevaluacin, mediciny diagnstico:
Dos diagnsticos de conciencia gerencialHerramienta para medicin de madurezFormatos de evaluacin de objetivos de
Control MyCOBIT.Temas para diagnstico de factores riesgoTemas para diagnstico de objetivos de
control
-
7/25/2019 Cobit Val IT y Risk IT
20/40
20
Control Objectives for Informationand related Technologies
-
7/25/2019 Cobit Val IT y Risk IT
21/40
21
CobiTCobiTDominios, Recursos y CriteriosDominios, Recursos y Criterios
OBJETIVOS DEL NEGOCIOOBJETIVOS DE GOBIERNO
Eficiencia
AplicacionesInformacin
InfraestructuraPersonas
ENTREGARY DAR
SOPORTE
MONITOREARY
EVALUAR
ADQUIRIRE
IMPLEMENTAR
INFORMACION
RECURSOSDETI
MARCO DE TRABAJOC O B I T
Efectividad
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
PLANEARy
ORGANIZAR
Confiabilidad
DS1 Definir y administrar niveles deservicios.
DS2 Administrar servicios de terceros.DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de lossistemas.DS6 Identificar y asignar costos.DS7 Educar y entrenar a los usuarios.DS8 Administrar la mesa de servicio y los
incidentes.DS9 Administrar la configuracin.DS10 Administrar los problemas.
DS11 Administrar los datos.DS12 Administrar el ambiente fsico.DS13 Administrar las operaciones.
ME1 Monitorear y evaluar el desempeode TI.
ME2 Monitorear y evaluar el controlinterno.
ME3 Garantizar Cumplimientoregulatorio.
ME4 Proporcionar Gobierno deTI.
PO1 Definir el plan estratgico de TI.
PO2 Definir la arquitectura de la informacin.PO3 Determinar la direccin tecnolgica.PO4 Definir procesos, organizacin y
relaciones de TI.
PO5 Administrar la inversin en TI.PO6 Comunicar la direccin y de lasaspiraciones y la direccin de lagerencia.
PO7 Administrar recursos humanos de TI.PO8 Administrar calidad.
PO9 Evaluar y administrar Riesgosde TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones automatizadas.AI2 Adquirir y mantener el software
aplicativo.AI3 Adquirir y mantener la
infraestructura tecnolgica.AI4 Facilitar la operacin y el uso.AI5 Adquirir recursos de TI.
AI6 Administrar cambios.AI7 Instalar y acreditar soluciones y
cambios.
-
7/25/2019 Cobit Val IT y Risk IT
22/40
22
CobiTCobiTMatriz RACI: AsignaciMatriz RACI: Asignacin de responsabilidades por Rol / PO10n de responsabilidades por Rol / PO10
Definir un marco de trabajo deprogramas/portafolio para inversiones en TI.
C C A R C C
Establecer y mantener un marco de trabajo parala administracin de proyectos de TI.
I I I A/R I C C C C R C
Establecer y mantener un sistema de monitoreo,
medicin y administracin de sistemas. I I I R C C C C A/R CElaborar contratos de proyectos, cronogramas,planes de calidad, presupuestos y planes decomunicacin y administracin de riesgos.
C C C C C C C A/R C
Asegurar la participacin y el compromiso de losstakeholders del proyecto.
I A R C C
Asegurar el control efectivos de proyectos y decambios a proyectos.
C C C C C A/R C
Definir e implementar mtodos de revisin yaseguramiento de proyectos.
I C I A/R C
CEO
CFO
Ejecutiv
osd
elN
egocio
CIO Due
oP
roc.
Neg
ocio
Direc
cin
Ope
raci
ones
Arq
uite
cto
Jefe
Dire
cci
nD
esar
rollo
Dire
cci
nA
dm.T
I
PMO
Diagrama RACI para PO10
Funcio
nes
Actividades
Un diagrama RACI para cada proceso identifica quin es Responsable, Debe Rendir Cuentas, es Consultado, y/o esInformado
Cum
plim
ient
o,R
iesgo,
Cum
plim
ient
o,R
iesgo
,
Aud
itor
Aud
itora
,Seg
urid
ad
a,S
egurid
ad
Cum
plim
ient
o,R
iesgo
,
Aud
itora,
Seg
urid
ad
-
7/25/2019 Cobit Val IT y Risk IT
23/40
23
CobiTCobiTManagement Guidelines: IndicadoresManagement Guidelines: Indicadores
Define Metas
MideLogros
Dirige Desempeo
Mejora
yrealinea
Meta de Actividad Meta de Proceso Meta de TI Meta de Negocio
es medido mediante es medido mediante es medido mediante es medido mediante
KPI Mtrica de Proceso KGI
KPI Mtrica de TI KGI
KPI Mtrica de Negocio KGI
Comprender
requerimientos,
vulnerabilidades y
amenazas deseguridad
Frecuencia de
revisin del tipo de
eventos deseguridad a ser
monitoreados
Nmero de
violaciones de
acceso
Nmero de
incidentes de TI
que realmenteimpactan el
negocio
Nmero deincidentes que
provocansituacionespblicas
embarazosas
Detectar y resolveraccesos no
autorizados a
informacin,aplicaciones einfraestructura
Asegurar que los
servicios de TI
pueden resistir y
recobrarse deataques
Mantener la
reputacin y
liderazgo de la
empresa
-
7/25/2019 Cobit Val IT y Risk IT
24/40
24
CobiTCobiTModelos de Madurez y BenchmarkingModelos de Madurez y Benchmarking
Los Modelos de Madurez proveen una escala para medir comparativamente las prcticas dela compaa contra los estndares y directrices de la industria. Un modelo de madurez esuna medida que le permite a la organizacin calificar su madurez para un proceso especficodesde no existente (0) hasta optimizado (5).
No existente Inicial Repetible Definido Administrado Optimizado
0 1 2 3 4
Leyenda para los smbolos utilizados Descripcin de niveles de madurez
0- Los procesos adminstrativos no se aplican del todo.1- Los procesos son ad hocy desorganizados.2- Los procesos siguen un patrn regular.3- Los procesos se documentan y comunican.4- Los procesos son monitoreados y medidos.5- Se aplican buenas prcticas y automatizacin.
Estatus actual de la empresa
Promedio de la industria
Meta de la empresa
5
-
7/25/2019 Cobit Val IT y Risk IT
25/40
25
CobiTCobiTAssurance Guidelines / Ruta de AseguramientoAssurance Guidelines / Ruta de Aseguramiento
Planeac
in
Dim
ensionamiento
Ejecucin
Establecer el Universo del Aseguramiento de TI Seleccionar un marco de trabajo de control de TI Desarrollar una planeacin de aseguramiento basada en riesgo.
Realizar una evaluacin de alto nivel Dimensionar y definir los objetivos de alto nivel para la Iniciativa
Dimensionar y planear iniciativas de aseguramiento
Seleccionar los objetivos de control para procesos crticos Personalizar objetivos de control
Refinar elentendi_miento delObjeto deAseguram. deTI
Refinar elalcance deobjetivos decontrol clavepara elobjeto deAseguram.de TI
Probar laefectividadde diseodel controlde losobjetivos decontrolclave.
Probar losproductos delos objetivosde controlclave
Documentar elimpacto de lasdebilidades decontrol.
Desarrollar ycomunicarconclusionesgenerales ysugerencias.
Planesde
aseguramientodeTI
Alcanc
edetalladoy
o
bjetivos
Conclusinde
Aseguramiento
-
7/25/2019 Cobit Val IT y Risk IT
26/40
26
CobiTCobiTAssurance Guidelines / Ruta de AseguramientoAssurance Guidelines / Ruta de Aseguramiento
Objetivo de Control(por objetivo de control)
Declaracin de Valor(por objetivo de control)
Declaracin de Riesgo(por objetivo de control)
Pasos de Aseguramiento para probar el Diseo del Control
(para cada objetivo de control)
Pasos de Aseguramiento para probar el Producto de los Objetivos deControl (para cada Proceso)
Pasos de Aseguramiento para Documentar el impacto de las Debilidadesde Control (para cada Proceso)
Cada una de las 34 guas presenta esta estructura y se aplica de maneraespecfica a cada uno de los Procesos y Objetivos de control seleccionadosen el alcance de la Iniciativa de aseguramiento.
-
7/25/2019 Cobit Val IT y Risk IT
27/40
27
CobiTCobiTAssurance Guidelines / Controles Generales VS Controles de AplicAssurance Guidelines / Controles Generales VS Controles de Aplicaciacinn
Planeacin y Organizacin
Monitoreo y Evaluacin
Adquisicin eImplementacin
Entrega ysoporte
Entrega ySoporte
RequerimientosFuncionales
Requerimientosde control
ServiciosAutomatizados
Controles de Aplicacin
Controles Generales de TI
Las guas de aseguramiento diferencian entrecontroles Generales y Controles de Aplicacin
-
7/25/2019 Cobit Val IT y Risk IT
28/40
28
-
7/25/2019 Cobit Val IT y Risk IT
29/40
29
Risk ITRisk ITLos Principios de Risk ITLos Principios de Risk IT
Gobierno Empresarial efectivo para Riesgos de TI:Siempre se relaciona con objetivos de negocioAlinea la administracin de los riesgos relacionadios con TI con
la administracin general de riesgos de la EmpresaEquilibra el costo y los beneficios de la administracin deRiesgos
Adminstracin efectiva de Riesgos de TI:
Promueve una comunicacin clara y abierta sobre riesgos de TIEstablece el tono adecuado desde la parte ms alta de laempresa al tiempo que define y refuerza la rendicin de cuentaspersonal sobre la operacin dentro de niveles de tolerancia bien
definidos.Es un proceso contnuo y es parte de las actividades diarias
-
7/25/2019 Cobit Val IT y Risk IT
30/40
30
IT RiskIT Risk
Valor de NegocioValor de Negocio
Valor de NegocioValor de Negocio
Falla enFalla en
GenerarGenerarGeneraGenera
PierdePierde PreservaPreserva
IT Ri kIT Ri k
-
7/25/2019 Cobit Val IT y Risk IT
31/40
31
Risk IT FrameworkPresenta una estructura similar alFramework de CobiTIncluye:
Prcticas gerenciales
Lineamientos Gerenciales Entradas y salidas Roles (con definicin) y
Responsabilidades Metas y Mtricas
Modelos de Madurez de losProcesos
IT RiskIT RiskFrameworkFramework ((Dominios y Procesos)Dominios y Procesos)
Gobierno de RiesgosGobierno de Riesgos
22
IntegrarIntegrarcon ERMcon ERM
11
EstablecerEstablecer
una visiuna visinn
comcomn deln del
RiesgoRiesgo
33
TomarTomar
decisionesdecisiones
conscientesconscientes
del Riesgodel Riesgo
FundamentoFundamento
de Riesgosde Riesgos
en TIen TI
22AnalizarAnalizar
RiesgosRiesgos
11
RecolectarRecolectarDatosDatos
33
MantenerMantener
elelPortafolioPortafolio
de Riesgosde Riesgos
22
AdministrarAdministrarRiesgosRiesgos
11
ArticularArticular
RiesgosRiesgos
33
ReaccionarReaccionaranteante
eventoseventos
Responder a RiesgosResponder a Riesgos Evaluar RiesgosEvaluar Riesgos
Comunicacin
-
7/25/2019 Cobit Val IT y Risk IT
32/40
32
IT RiskIT RiskEscenarios de RiesgoEscenarios de Riesgo
TiempoTiempo
EscenarioEscenariode Riesgode Riesgo
DuraciDuracinn
Tiempo de OcurrenciaTiempo de Ocurrencia Tiempo de detecciTiempo de deteccinn
Activo / RecursoActivo / Recurso Gente y OrganizaciGente y Organizacinn ProcesosProcesos InfraestructuraInfraestructura Componentes de laComponentes de la
Arquitectura de NegocioArquitectura de Negocio
AcciAccinn DivulgaciDivulgacinn InterrupciInterrupcinn ModificaciModificacinn RoboRobo DestrucciDestruccinn
DiseDiseo Inefectivoo Inefectivo EjecuciEjecucinn
ineficienteineficiente RegulaciRegulacinn Uso inapropiadoUso inapropiado
ActorActor
Tipo de AmenazaTipo de Amenaza
InternosInternos ExternosExternos
MaliciosaMaliciosa AccidentalAccidental FallaFalla NaturalNatural
++
++ ++
++
-
7/25/2019 Cobit Val IT y Risk IT
33/40
33
V l ITV l IT
-
7/25/2019 Cobit Val IT y Risk IT
34/40
34
Val ITVal ITLos cuatroLos cuatro AsesAses
HacemosHacemoslas cosaslas cosas
correctas?correctas?
ObtenemosObtenemosloslos
beneficios?beneficios?
LasLashacemos enhacemos en
la formala forma
adecuada?adecuada?
LogramosLogramos
hacerlashacerlas
bienbienhechashechas
Estrategia
Arquitectura
Valor
Entrega
Val IT FrameworkPresenta una estructura con uncontenido similar al Framework deCobiT
Incluye para cada proceso: Entradas y salidas Roles (con definiciones) y
responsabilidades Metas y Mtricas Modelos de Madurez Gobierno del Valor Administracin del Portafolio Administracin de las
Inversiones
Val ITVal IT
-
7/25/2019 Cobit Val IT y Risk IT
35/40
35
Val ITVal ITLos Principios de Val ITLos Principios de Val IT
Las inversiones habilitadas por TI sern administradas como unportafolio de inversiones.Las inversiones habilitadas por TI incluirn el alcance completo de lasactividades que son requeridas para lograr el valor de negocio.
Las inversiones habilitadas por TI sern administradas a travs de suciclo de vida econmico completo.Las prcticas de entrega de valor reconocern que existen diferentescategoras de inversiones que sern evaluadas y administrada demanera diferente.
Las prcticas de entrega de valor definirn y vigilarn mtricas clave yrespondern rpidamente a cualquier cambio o desviacin.Las prcticas de entrega de valor involucrarn a todos losstakeholders y asignaran apropiadamente la rendicin de cuentassobre la entrega de capacidades y la realizacin de beneficios denegocio.Las prcticas de entrega de valor sern vigiladas, evaluadas ymejoradas continuamente.
Val ITVal IT
-
7/25/2019 Cobit Val IT y Risk IT
36/40
36
Val ITVal ITPrincipales ConceptosPrincipales Conceptos
ValorEl (los) resultado(s) final(es) de negocio esperado(s) de una inversin de negociohabilitada por tecnologa en donde tal(es) resultado(s) pueden ser financieros, no financieroso una combinacin de ambos.
PortafolioUn agrupamiento de programas, proyectos, servicios o activos seleccionados, administrados yvigilados para optimizar el retorno del negocio (notar que el foco inicial en Val IT estainteresado de manera primaria en un portafolio de programas. COBIT esta interesado enportafolios de proyectos, servicios o activos).
ProgramaUn grupo estructurado de proyectos interdependientes que son tanto necesarios comosuficientes para lograr los resultados de negocio para generar valor. Estos proyectos podran
incluir, pero no limitarse a cambios en la naturaleza del negocio, procesos de negocio, eltrabajo desempeado por gente, as como las competencias requeridas para llevar al cabo eltrabajo, tecnologa habilitadora y estructuras organizacionales. El programa de inversin es launidad primaria de inversin dentro de Val IT.
ProyectoUn conjunto estructurado de actividades concernientes a la entrega de una capacidad definida
a la empresa (que es necesaria por NO suficiente para lograr los resultados requeridospor el negocio) basadas en un calendario y presupuestos acordados.Implementar
Incluye el ciclo de vida econmico completo de un programa de inversin, hasta el retirode la misma. Ie. cuando el valor esperado completo de la inversin es realizado, se haobtenido tanto valor como se estima posible o cuando se determina que el valor esperado nopuede ser realizado y el programa es terminado.
Val ITVal IT
-
7/25/2019 Cobit Val IT y Risk IT
37/40
37
Val ITVal ITSus procesosSus procesos
GobiernoGobierno
del Valordel Valor
((VGVG))
AdministraciAdministracinn
de Inversionesde Inversiones((IMIM))
AdministraciAdministracinn
del Portafoliodel Portafolio((PMPM))
Su objetivo es optimizar el valor delas inversiones de negociohabilitadas por tecnologa de unaorganizacin.
Su objetivo es asegurar que elportafolio general deinversiones habilitadas por TI,se encuentre alineado con losobjetivos estratgicos de laorganizacin y contribuye conun valor ptimo al logro de losmismos
Su objetivo es asegurarque los programasindividuales de inversinhabilitada por TI,generan un valor ptimoa un costo accesible conun nivel de riesgoconocido y aceptable
RelaciRelacin Detalladan Detallada
-
7/25/2019 Cobit Val IT y Risk IT
38/40
38
RelaciRelacin Detalladan DetalladaGRC Red Book y CobiT Control PracticesGRC Red Book y CobiT Control Practices
R f iR f i
-
7/25/2019 Cobit Val IT y Risk IT
39/40
39
ReferenciasReferencias
GRC Capability Model Red Book 2.0. Open Compliance & Ethics Group (OCEG)
CobiT4.1. IT Governance Institute
IT Assurance Guide. IT Governance Institute
CobiT Control Practices. Guidence to achieve control objectives for succesful
governance. IT Governance Institute.
Enterprise Risk: Identify, Govern and Manage IT Risk. The Risk IT Framework. ITGovernance Institute.
Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. IT
Governance Institute.
IT Governance Implementation Guide Using CobiT and Val IT TM 2nd edition. IT
Governance Institute.
Copyright 2007 IT Governance Institute.
IT Governance Institute
Copyright 2006 2009 Open Compliance &Ethics Group.
Open & Compliance Group
www.oceg.orgwww.itgi.org
-
7/25/2019 Cobit Val IT y Risk IT
40/40
40
CobiTCobiT, Val IT, Val ITy Risk ITy Risk ITen la implementacien la implementacin de un Modelo den de un Modelo de
GRCGRC
ISACA Captulo Monterrey
Muchas Gracias!
Gustavo A. Sols, CISA, CISM, CGEIT