1
CobiT CobiT ®®, Val IT , Val IT ®® y Risk IT y Risk IT ®®en la implementacien la implementacióón de un Modelo de n de un Modelo de
GRCGRC
ISACA Capítulo Monterrey
Presentado por
Gustavo A. Solís, CISA, CISM, CGEIT
2
QuQuéé es GRCes GRC
Definido formalmente, GRC es un sistema de personas, procesos y tecnología que permite que una organización:
Comprenda y priorice expectativas de StakeholdersEstablezca objetivos congruentes con valores y riesgosLogre objetivos al tiempo que optimiza el perfil de riesgos y protege el valor del negocio.Operar dentro de fronteras legales, contractuales, internas, sociales y éticasProveer información relevante, confiable y oportuna a los stakeholders apropiados yPermitir la medición del desempeño y la eficacia del sistema
3
DesempeDesempeñño con Principios o con Principios ((Principled PerformancePrincipled Performance))
Es el resultado de una clara articulación entre los objetivos de una organización y la aplicación de métodos de GRC, mediante los cuales se establecen fronteras, dentro de las cuales permanece mientras avanza hacia el logro de sus objetivos.Va más allá del desempeño ético, del desempeño económico o la responsabilidad social corporativa.Representa el logro de todos los objetivos de una organización, al tiempo que se emplea un enfoque efectivo, eficiente y responsivo al Gobierno, a la Administración de Riesgos y a Conformidad, el cual soporta dichos objetivos
4
Las Fronteras de la Conducta CorporativaLas Fronteras de la Conducta Corporativa
Fronteras Obligatorias“Mandatos Externos”
Fronteras Voluntarias“Mandatos Internos”
Definidas por fuerzas legales y requerimientos regulatoriosDefinidas por la
Gerencia
5
Resultados Universales Resultados Universales …… de un sistema GRC de alto desempede un sistema GRC de alto desempeññoo
Lograr Objetivos de Negocio
Optimizar la Cultura Organizacional
Incrementar la Confianza de los Stakeholders
Preparar y Proteger a la Organización
Prevenir, Detectar & Reducir la Adversidad
Motivar e Inspirar la Conducta Deseada
Mejorar la eficiencia y capacidad de Respuesta
Optimizar el Valor económico y Social
Un sistema de GRC de alto desempeño debe generar los siguientes resultados universales siendo eficaz, eficiente y responsivo.
6
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Organizar y Organizar y SupervisarSupervisar
Evaluar y Evaluar y AlinearAlinear
Prevenir y Prevenir y PromoverPromover
Detectar y Detectar y DiscernirDiscernir
Responder y Responder y ResolverResolver
Monitorear y Monitorear y MedirMedir
INFORMAR E INFORMAR E
INTEGRARINTEGRAR
7
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Organizar y Supervisar
Organizar y supervisar el sistema de GRC para que esté
integrado con el modelo de operación de negocio actual y
pueda modificarlo cuando sea apropiado.
Asignar a la Gerencia responsabilidades específicas,
autoridad de toma de decisiones y compromiso de rendición
de cuentas para lograr las metas del Sistema
Resultados y Compromiso
Roles y ResponsabilidadesEnfoque y Rendición de Cuentas
8
ContenidoContenido
Introducción a GRCQué es GRCEl concepto de “Desempeño con Principios” (Principled Performance)
Otros componentes críticos de GRCCaracterísticas del GRC
El modelo de Capacidades de GRCLos Frameworks de ISACA como base de un modelo GRCProductos CobiT para implementar un sistema de GRC de TIComponentes de los Frameworks aplicados al GRC
CobiTVal ITRisk IT
Conclusiones
9
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Evaluar y Alinear
Evaluar riesgos y optimizar el perfil de riesgos organizacionales
con un portafolio de iniciativas, tácticas y actividades
Identificación de RiesgosAnálisis de RiesgosOptimización de Riesgos
Prevenir y Promover
Promover y motivar la conducta deseable y prevenir eventos y
actividades no deseados utilizando una mezcla de controles e
iniciativas Códigos de ConductaPolíticasControles PreventivosConciencia y EducaciónIncentivos de Capital HumanoRelaciones y Requerimientos de StakeholdersFinanciamiento de Riesgos / Seguros
10
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Detectar y Discernir
Detectar conductas y eventos indeseables tanto potenciales
como actuales, así como debilidades del Sistema y
preocupaciones de Stakeholders utilizando una amplia red de
recopilación de información y técnicas de análisis
Mesa de Servicio (Hotline) y NotificaciónConsulta y Encuesta (Survey)Controles Detectivos
11
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Responder y Resolver
Responder a, y recuperarse de eventos de conducta ética no
deseada o de incumplimiento o de fallas del Sistema de GRC, para
que la organización resuelva cada aspecto inmediato y prevenga o
resuelva aspectos similares de formas más eficiente y eficaz en el
futuro.Revisión Interna e InvestigaciónConsultas e Investigaciones de TercerosControles CorrectivosRespuesta a Crisis y RecuperaciónRemediación y Disciplina
Monitorear y Medir
Monitorear, medir y modificar el sistema GRC de forma periódica y consistente para asegurar que contribuye a los objetivos de negocio, siendo eficiente, eficaz y responsivo a cambios en el ambiente
Monitoreo de ContextoMonitoreo de Desempeño y EvaluaciónMejora SistemáticaAseguramiento
12
Modelo de Capacidades de GRCModelo de Capacidades de GRC
Contexto y CulturaComprender la cultura actual y el contexto interno y externo
en el que opera la organización para que el sistema de GRC
pueda orientarse a realidades actuales (e identificar
oportunidades para afectar el contexto y ser más congruente
con los resultados organizacionales deseados).
Contexto Externo del NegocioContexto Interno del Negocio
CulturaValores y Objetivos
Informar IntegrarCapturar, documentar y administrar información de GRC para
que fluya de forma eficiente y precisa vertical y
horizontalmente a través de la empresa extendida y hacia los
Stakeholders externos
Administración de Información y DocumentaciónComunicaciones Internas y ExternasTecnología e Infraestructura
13
Otros componentes CrOtros componentes Crííticos de GRCticos de GRC
GobiernoGobierno
AdmAdmóón. de n. de
RiesgosRiesgosConformidadConformidad
As
eg
ura
mie
nto
As
eg
ura
mie
nto
ControlControl
GenteGente
14
GRC es para toda la empresaGRC es para toda la empresa
PlanearPlanear
Ventas
Ventas
Pro
ducir
Pro
ducir
Co
mp
ras
Co
mp
ras
R.H
.R
.H.
Conta
b..
Conta
b..
Legal
Legal
Rel. Pub.Rel. Pub.EcologEcologííaa
Marketin
g
Marketin
g
Seg
urid
ad
Seg
urid
ad
Pro
yecto
sP
royecto
sC
alid
ad
Cal
idad
Tesorer
Tesorerííaa
ServicioServicio
TITI
AdmAdmóón. de n. de RiesgosRiesgos
ConformidadConformidad
GobiernoGobierno
15
Los Frameworks del ITGI
16
““CobiT ExtendidoCobiT Extendido””Los tres Los tres FrameworksFrameworks del ITGIdel ITGI
AdministraciAdministracióón n
de de RiesgosRiesgos
AdministraciAdministracióón n
del del ValorValor
Evaluar Riesgos Evaluar Riesgos
y y
OportunidadesOportunidades
Eventos Eventos
relacionados relacionados
con TIcon TI
Actividades Actividades
de TIde TI
Risk IT Val IT
Diri
geD
irige
Dirige
Dirige
CobiT
17
Elementos del ITGI relacionados con GRCElementos del ITGI relacionados con GRC
GovernanceGobierno de TI
Gobierno de seguridad de Información
CobiT(v4.1)Framework de Control
Objetivos de Control (controles generales)Prácticas de Control
Lineamientos GerencialesGuía de AseguramientoCobit y Controles de Aplicación
Val IT (v2.0)Risk IT (v1.0)
18
Productos CobiT para Apalancar un sistema de GRC de TIProductos CobiT para Apalancar un sistema de GRC de TI
Organizar y Organizar y SupervisarSupervisar
Evaluar y Evaluar y AlinearAlinear
Prevenir y Prevenir y PromoverPromover
Detectar y Detectar y DiscernirDiscernir
Responder y Responder y ResolverResolver
Cultura y Cultura y ContextoContexto
Informar e Informar e IntegrarIntegrar
Assurance Assurance GuideGuide
Control Control PracticesPractices
Management Management GuidelinesGuidelines
Control Control ObjetivesObjetives
IT IT Governance Governance Implement.. Implement..
GuideGuide
Val ITVal ITRisk ITRisk IT
Monitorear y Monitorear y MedirMedir
Directo
Indirecto
Contextual
19
CobiTCobiTIT Governance Implementation GuideIT Governance Implementation Guide
Qué contiene….
La Ruta hacia el Gobierno de TIEs una guía para implementar Gobierno de TI utilizando los frameworks de CobiT y de Val ITÁreas Focales de Gobierno de TI.Ciclo de Vida del Gobierno de TI
El Ambiente del Gobierno de TILos Stakeholders del Gobierno de TI
Dominios de
Gobierno de TI
Alineamiento
Estratégico
Generación de Valor
Administración
de Riesgos
Administración
de Recursos
Medición de
Desem
peño
Herramientas para autoevaluación, medición y diagnóstico:
Dos diagnósticos de conciencia gerencial
Herramienta para medición de madurezFormatos de evaluación de objetivos de
Control “MyCOBIT”. Temas para diagnóstico de factores riesgo
Temas para diagnóstico de objetivos de control
20
Control Objectives for Information and related Technologies ®
21
CobiTCobiTDominios, Recursos y CriteriosDominios, Recursos y Criterios
OBJETIVOS DEL NEGOCIOOBJETIVOS DE GOBIERNO
Eficiencia
AplicacionesInformación
InfraestructuraPersonas
ENTREGAR Y DAR
SOPORTE
MONITOREARY
EVALUAR
ADQUIRIRE
IMPLEMENTAR
INFORMACION
RECURSOSDETI
MARCO DE TRABAJOC O B I T
Efectividad
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
PLANEARy
ORGANIZAR
Confiabilidad
DS1 Definir y administrar niveles de servicios.
DS2 Administrar servicios de terceros.DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.DS5 Garantizar la seguridad de los
sistemas.DS6 Identificar y asignar costos.DS7 Educar y entrenar a los usuarios.DS8 Administrar la mesa de servicio y los
incidentes.DS9 Administrar la configuración.DS10 Administrar los problemas.
DS11 Administrar los datos.DS12 Administrar el ambiente físico.DS13 Administrar las operaciones.
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno.
ME3 Garantizar Cumplimientoregulatorio.
ME4 Proporcionar Gobierno de TI.
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información.PO3 Determinar la dirección tecnológica.PO4 Definir procesos, organización y
relaciones de TI.PO5 Administrar la inversión en TI.PO6 Comunicar la dirección y de las
aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.PO8 Administrar calidad.
PO9 Evaluar y administrar Riesgos de TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones automatizadas.AI2 Adquirir y mantener el software
aplicativo.AI3 Adquirir y mantener la
infraestructura tecnológica.AI4 Facilitar la operación y el uso.AI5 Adquirir recursos de TI.
AI6 Administrar cambios.AI7 Instalar y acreditar soluciones y
cambios.
22
CobiTCobiTMatriz RACI: AsignaciMatriz RACI: Asignacióón de responsabilidades por Rol / PO10n de responsabilidades por Rol / PO10
Definir un marco de trabajo de programas/portafolio para inversiones en TI.
C C A R C C
Establecer y mantener un marco de trabajo para la administración de proyectos de TI.
I I I A/R I C C C C R C
Establecer y mantener un sistema de monitoreo, medición y administración de sistemas.
I I I R C C C C A/R C
Elaborar contratos de proyectos, cronogramas, planes de calidad, presupuestos y planes de comunicación y administración de riesgos.
C C C C C C C A/R C
Asegurar la participación y el compromiso de los stakeholders del proyecto.
I A R C C
Asegurar el control efectivos de proyectos y de cambios a proyectos.
C C C C C A/R C
Definir e implementar métodos de revisión y aseguramiento de proyectos.
I C I A/R C
CE
O
CF
O
Eje
cuti
vos
del
Neg
oci
oC
IO
Dueñ
o P
roc.
Neg
oci
oD
irec
ció
n O
per
acio
nes
Arq
uit
ecto
Jef
eD
irec
ció
n D
esar
roll
oD
irec
ció
n A
dm
. T
IP
MO
Diagrama RACI para PO10
Fun
cion
es
Actividades
Un diagrama RACI para cada proceso identifica quién es Responsable, Debe Rendir Cuentas, es Consultado, y/o es Informado
Cu
mp
lim
iento
, R
iesg
o,
Cu
mp
lim
iento
, R
iesg
o,
Aud
itor
Aud
itor íí
a, S
eguri
dad
a, S
eguri
dad
Cu
mp
lim
iento
, R
iesg
o,
Aud
itorí
a, S
eguri
dad
23
CobiTCobiTManagement Guidelines: IndicadoresManagement Guidelines: Indicadores
Define Metas
Mide Logros
Dirige Desempeño
Mej
ora
y re
alin
ea
Meta de Actividad Meta de Proceso Meta de TI Meta de Negocio
es medido mediante es medido mediante es medido mediante es medido mediante
KPI Métrica de Proceso KGI
KPI Métrica de TI KGI
KPI Métrica de Negocio KGI
Comprender
requerimientos,
vulnerabilidades y
amenazas de
seguridad
Frecuencia de
revisión del tipo de
eventos de
seguridad a ser
monitoreados
Número de
violaciones de
acceso
Número de
incidentes de TI
que realmente
impactan el
negocio
Número de incidentes que provocan situaciones públicas
embarazosas
Detectar y resolver accesos no autorizados a información, aplicaciones e infraestructura
Asegurar que los
servicios de TI
pueden resistir y
recobrarse de
ataques
Mantener la
reputación y
liderazgo de la
empresa
24
CobiTCobiTModelos de Madurez y BenchmarkingModelos de Madurez y Benchmarking
Los Modelos de Madurez proveen una escala para medir comparativamente las prácticas de la compañía contra los estándares y directrices de la industria. Un modelo de madurez es una medida que le permite a la organización calificar su madurez para un proceso específico desde no existente (0) hasta optimizado (5).
No existente Inicial Repetible Definido Administrado Optimizado
0 1 2 3 4
Leyenda para los símbolos utilizados Descripción de niveles de madurez
0- Los procesos adminstrativos no se aplican del todo.1- Los procesos son ad hoc y desorganizados.2- Los procesos siguen un patrón regular.3- Los procesos se documentan y comunican.4- Los procesos son monitoreados y medidos.5- Se aplican buenas prácticas y automatización.
Estatus actual de la empresa
Promedio de la industria
Meta de la empresa
5
25
CobiTCobiTAssurance Guidelines / Ruta de AseguramientoAssurance Guidelines / Ruta de Aseguramiento
Planeación
Dimensionam
ientoEjecución
• Establecer el Universo del Aseguramiento de TI
• Seleccionar un marco de trabajo de control de TI
• Desarrollar una planeación de aseguramiento basada en riesgo.
• Realizar una evaluación de alto nivel
• Dimensionar y definir los objetivos de alto nivel para la Iniciativa
• Dimensionar y planear iniciativas de aseguramiento
• Seleccionar los objetivos de control para procesos críticos
• Personalizar objetivos de control
Refinar el entendi_ miento del Objeto de Aseguram. de TI
Refinar el alcance de objetivos de control clave para el objeto de Aseguram. de TI
Probar la efectividad de diseño del control de los objetivos de control clave.
Probar los productos de los objetivos de control clave
Documentar el impacto de las debilidades de control.
Desarrollar y comunicar conclusiones generales y sugerencias.
Planes de
aseguramiento de T
IAlcance detallado y
objetivos
Conclusión de
Aseguram
iento
26
CobiTCobiTAssurance Guidelines / Ruta de AseguramientoAssurance Guidelines / Ruta de Aseguramiento
Objetivo de Control(por objetivo de control)
Declaración de Valor(por objetivo de control)
Declaración de Riesgo(por objetivo de control)
Pasos de Aseguramiento para probar el Diseño del Control(para cada objetivo de control)
Pasos de Aseguramiento para probar el Producto de los Objetivos de Control (para cada Proceso)
Pasos de Aseguramiento para Documentar el impacto de las Debilidades de Control (para cada Proceso)
Cada una de las 34 guías presenta esta estructura y se aplica de manera específica a cada uno de los Procesos y Objetivos de control seleccionados en el alcance de la Iniciativa de aseguramiento.
27
CobiTCobiTAssurance Guidelines / Controles Generales VS Controles de AplicAssurance Guidelines / Controles Generales VS Controles de Aplicaciacióónn
Planeación y Organización
Monitoreo y Evaluación
Adquisición e Implementación
Entrega y soporte
Entrega y Soporte
RequerimientosFuncionales
Requerimientosde control
Servicios Automatizados
Controles de Aplicación
Controles Generales de TI
Las guías de aseguramiento diferencian entre controles Generales y Controles de Aplicación
28
29
Risk ITRisk ITLos Principios de Risk ITLos Principios de Risk IT
Gobierno Empresarial efectivo para Riesgos de TI:Siempre se relaciona con objetivos de negocioAlinea la administración de los riesgos relacionadios con TI con la administración general de riesgos de la Empresa Equilibra el costo y los beneficios de la administración de Riesgos
Adminstración efectiva de Riesgos de TI:Promueve una comunicación clara y abierta sobre riesgos de TIEstablece el tono adecuado desde la parte más alta de la empresa al tiempo que define y refuerza la rendición de cuentas personal sobre la operación dentro de niveles de tolerancia bien definidos.Es un proceso contínuo y es parte de las actividades diarias
30
IT RiskIT Risk
Valor de NegocioValor de Negocio
Valor de NegocioValor de Negocio
Falla en Falla en
GenerarGenerarGeneraGenera
PierdePierde PreservaPreserva
31
Risk IT Framework•Presenta una estructura similar al Framework de CobiT•Incluye:
• Prácticas gerenciales• Lineamientos Gerenciales
• Entradas y salidas• Roles (con definición) y
Responsabilidades• Metas y Métricas
• Modelos de Madurez de los Procesos
IT Risk IT Risk Framework Framework ((Dominios y Procesos)Dominios y Procesos)
Gobierno de RiesgosGobierno de Riesgos
22
Integrar Integrar
con ERMcon ERM
1 1
Establecer Establecer
una visiuna visióón n
comcomúún del n del
RiesgoRiesgo
33
Tomar Tomar
decisiones decisiones
conscientes conscientes
del Riesgodel Riesgo
Fundamento Fundamento
de Riesgos de Riesgos
en TIen TI
2 2
Analizar Analizar
RiesgosRiesgos
11
Recolectar Recolectar
DatosDatos
33
Mantener Mantener
el el
Portafolio Portafolio
de Riesgosde Riesgos
22
Administrar Administrar
RiesgosRiesgos
11
Articular Articular
RiesgosRiesgos
3 3
Reaccionar Reaccionar
ante ante
eventoseventos
Responder a RiesgosResponder a Riesgos Evaluar RiesgosEvaluar Riesgos
Comunicación
32
IT RiskIT RiskEscenarios de RiesgoEscenarios de Riesgo
TiempoTiempo
Escenario Escenario de Riesgode Riesgo
•• DuraciDuracióónn•• Tiempo de OcurrenciaTiempo de Ocurrencia•• Tiempo de detecciTiempo de deteccióónn
Activo / RecursoActivo / Recurso
•• Gente y OrganizaciGente y Organizacióónn•• ProcesosProcesos•• InfraestructuraInfraestructura•• Componentes de la Componentes de la
Arquitectura de Negocio Arquitectura de Negocio
AcciAccióónn
•• DivulgaciDivulgacióónn•• InterrupciInterrupcióónn•• ModificaciModificacióónn•• RoboRobo•• DestrucciDestruccióónn•• DiseDiseñño Inefectivoo Inefectivo•• EjecuciEjecucióón n
ineficienteineficiente•• RegulaciRegulacióón n •• Uso inapropiadoUso inapropiado
ActorActor
Tipo de AmenazaTipo de Amenaza
•• InternosInternos•• ExternosExternos
•• MaliciosaMaliciosa•• AccidentalAccidental•• FallaFalla•• NaturalNatural
++
++ ++
++
33
34
Val ITVal ITLos cuatro Los cuatro ““AsesAses””
¿¿Hacemos Hacemos
las cosas las cosas
correctas?correctas?
¿¿Obtenemos Obtenemos
los los
beneficios?beneficios?
¿¿Las Las
hacemos en hacemos en
la forma la forma
adecuada?adecuada?
¿¿Logramos Logramos
hacerlas hacerlas
““bien bien
hechashechas””
Estrategia
Arquitectura
Valor
Entrega
Val IT Framework•Presenta una estructura con un contenido similar al Framework de CobiT•Incluye para cada proceso:
• Entradas y salidas• Roles (con definiciones) y
responsabilidades• Metas y Métricas• Modelos de Madurez• Gobierno del Valor• Administración del Portafolio• Administración de las
Inversiones
35
Val ITVal ITLos Principios de Val ITLos Principios de Val IT
Las inversiones habilitadas por TI serán administradas como un portafolio de inversiones.Las inversiones habilitadas por TI incluirán el alcance completo de las actividades que son requeridas para lograr el valor de negocio.
Las inversiones habilitadas por TI serán administradas a través de su ciclo de vida económico completo.Las prácticas de entrega de valor reconocerán que existen diferentes categorías de inversiones que serán evaluadas y administrada de manera diferente.
Las prácticas de entrega de valor definirán y vigilarán métricas clave y responderán rápidamente a cualquier cambio o desviación.Las prácticas de entrega de valor involucrarán a todos los stakeholders y asignaran apropiadamente la rendición de cuentas sobre la entrega de capacidades y la realización de beneficios de negocio.Las prácticas de entrega de valor serán vigiladas, evaluadas y mejoradas continuamente.
36
Val ITVal ITPrincipales ConceptosPrincipales Conceptos
Valor El (los) resultado(s) final(es) de negocio esperado(s) de una inversión de negocio habilitada por tecnología en donde tal(es) resultado(s) pueden ser financieros, no financieros o una combinación de ambos.
PortafolioUn agrupamiento de programas, proyectos, servicios o activos seleccionados, administrados y vigilados para optimizar el retorno del negocio (notar que el foco inicial en Val IT esta interesado de manera primaria en un portafolio de programas. COBIT esta interesado en portafolios de proyectos, servicios o activos).
ProgramaUn grupo estructurado de proyectos interdependientes que son tanto necesarios como suficientes para lograr los resultados de negocio para generar valor. Estos proyectos podrían incluir, pero no limitarse a cambios en la naturaleza del negocio, procesos de negocio, el trabajo desempeñado por gente, así como las competencias requeridas para llevar al cabo el trabajo, tecnología habilitadora y estructuras organizacionales. El programa de inversión es la unidad primaria de inversión dentro de Val IT.
ProyectoUn conjunto estructurado de actividades concernientes a la entrega de una capacidad definida a la empresa (que es necesaria por NO suficiente para lograr los resultados requeridos por el negocio) basadas en un calendario y presupuestos acordados.
ImplementarIncluye el ciclo de vida económico completo de un programa de inversión, hasta el retiro de la misma. Ie. cuando el valor esperado completo de la inversión es realizado, se ha obtenido tanto valor como se estima posible o cuando se determina que el valor esperado no puede ser realizado y el programa es terminado.
37
Val ITVal ITSus procesosSus procesos
Gobierno Gobierno
del Valordel Valor
((VGVG))
AdministraciAdministracióón n
de Inversionesde Inversiones
((IMIM))
AdministraciAdministracióón n
del Portafoliodel Portafolio
((PMPM))
Su objetivo es optimizar el valor de las inversiones de negocio habilitadas por tecnología de una organización.
Su objetivo es asegurar que el portafolio general de inversiones habilitadas por TI, se encuentre alineado con los objetivos estratégicos de la organización y contribuye con un valor óptimo al logro de los mismos
Su objetivo es asegurar que los programas individuales de inversión habilitada por TI, generan un valor óptimo a un costo accesible con un nivel de riesgo conocido y aceptable
38
RelaciRelacióón Detallada n Detallada GRC Red Book y CobiT Control PracticesGRC Red Book y CobiT Control Practices
39
ReferenciasReferencias
GRC Capability Model “Red Book” 2.0. Open Compliance & Ethics Group (OCEG)
CobiT4.1. IT Governance Institute
IT Assurance Guide. IT Governance Institute
CobiT Control Practices. Guidence to achieve control objectives for succesful
governance. IT Governance Institute.
Enterprise Risk: Identify, Govern and Manage IT Risk. The Risk IT Framework. IT
Governance Institute.
Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. IT
Governance Institute.
IT Governance Implementation Guide Using CobiT and Val IT TM 2nd edition. IT
Governance Institute.
Copyright © 2007 IT Governance Institute.
IT Governance Institute
© Copyright 2006 – 2009 Open Compliance & Ethics Group.
Open & Compliance Group
www.oceg.orgwww.itgi.org
40
CobiT CobiT ®®, Val IT , Val IT ®® y Risk IT y Risk IT ®®en la implementacien la implementacióón de un Modelo de n de un Modelo de
GRCGRC
ISACA Capítulo Monterrey
¡Muchas Gracias!
Gustavo A. Solís, CISA, CISM, CGEIT