Académique Documents
Professionnel Documents
Culture Documents
AUREN
Francisco Rover 4 Entresuelo
07003 Palma Mallorca
Avda. General Pern, 38 3
28020 Madrid
Objetivos y Metodologa para su implantacin
GOBIERNO CORPORATIVO TIC
NDICE
1. Introduccin
2. Coso Internal Control Integrated Framework
3. Balance Scorecard Cumplimiento Legal
4. ISO 38500 - COBIT / ValIT
5. ISO 27000 ISO 20000 (ITIL V3) - ISO 24762
6. Metodologa.
6. Desarrollo del proyecto.
7. Fases de desarrollo del proyecto
Jos Manuel Ballester Fernndez
mballester@temanova.com mballester@temanova.com mballester@temanova.com mballester@temanova.com
ALGUNA INFORMACIN PERSONAL
Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT
Consejero Delegado TEMANOVA
Socio ALINTEC
Director Estratgia Fundacin DINTEL
Director Postgrado Buen Gobierno Universidad Deusto
Director Ctedra Buen Gobierno Universidad Deusto
Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR
Former President de ASIA / ISACA Madrid Chapter
CobiT
Foundation Certificate
Certified Information Systems Auditor (CISA)
Certified Information Security Manager (CISM)
Certified Governance Enterprise IT (CGEIT)
Accredited CobiT
Trainer
Texto men 2
Introduccin
Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones
que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o
terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier
sistema.
Complejidad social
Las organizaciones requieren una aproximacin estructurada para abordar stos y otros desafos.
Administrar los
servicios de TI
Seguridad
Valor/Costo
Manejar
la complejidad
Alineamiento de TI
con el Negocio
Cumplir con
requerimientos
regulativos
Texto men 2
Introduccin
Gobierno Corporativo TIC es
Un conjunto de responsabilidades y
prcticas ejecutadas por la junta
directiva y la administracin ejecutiva
con el fin de proveer direccin
estratgica,
garantizando que los objetivos sean
alcanzados,
estableciendo que los riesgos son
administrados apropiadamente y
verificando que los recursos de la
empresa son usados
responsablemente.
M
E
D
I
C
I
N
D
E
L
D
E
S
E
M
P
E
O
ADMINISTRACIN
DE LOS RECURSOS
A
D
M
I
N
I
S
T
R
A
C
I
N
D
E
L
R
I
E
S
G
O
A
G
R
E
G
A
R
V
A
L
O
R
A
L
I
N
E
A
C
I
N
E
S
T
R
A
T
G
I
C
A
www.itgi.org www.itgi.org
Texto men 2
Introduccin
Niveles de Gobernanza
La provisin de la estructura que permita determinar los objetivos de la
Organizacin y supervisar el rendimiento, a fin de asegurar que los objetivos son
cumplidos.
OCDE (2004)
Gobernanza corporativa (COSO)
La especificacin del marco de derechos a la toma de decisiones y la alta responsabilidad
para favorecer un comportamiento deseable en el uso de las TIC.
MIT/Sloan School of Management (2004)
No obstante, la Gobernanza no tiene que ver con qu decisiones son tomadas - eso
es Gestin -; sino que tiene que ver con quin toma las decisiones y con cmo se toman.
El establecimiento y mantenimiento de un marco que provea garanta de que las
estrategias de seguridad de la informacin estn alineadas con los objetivos del negocio y
son conformes a las leyes y regulaciones aplicables
ISACA/CISM BoK (2002)
Gobernanza de la Seguridad de la Informacin y Tecnologas afines
Gobernanza
Corporativa
Gobernanza de TIC
Gobernanza de SI
Niveles de gobernanza
Gobernanza de la TIC ISO 38500 COBIT / Val IT
Texto men 2
Introduccin
ISO38500 COBIT / Val IT
I
S
O
2
4
7
6
2
ISO 27000
ISO 20000
ITIL
COSO Cumplimiento Legal
QUE COMO
CAMPO DE COBERTURA
En la actualidad existe diferentes metodologas orientadas al control de las organizaciones, cada una de
ellas abarca diferentes mbitos, de forma que se complementan.
Marcos de Control
Texto men 2
Introduccin
Niveles de gobernanza
Continuidad de
Negocio
Procesos y Procedimientos
Principios
de
Seguridad
ITIL
Gobierno de TI
ISO38500 COBIT / Val IT
DESEMPEO:
Metas del negocio
CONFORMIDAD
Basilea II, Sarbanes-
Oxley Act,LOPD, etc
Directrices
ISO
24762
ISO
27000
ISO
20000
Estndares de mejores prcticas
Gobierno Corporativo COSO
Balanced Scorecard
Coso Internal Control Integrated Framework
En 1992, COSO public el Sistema Integrado de Control Interno, un informe
que establece una definicin comn de control interno y proporciona un
estndar mediante el cual las organizaciones pueden evaluar y mejorar sus
sistemas de control.
Mejorar la calidad de la informacin financiera
concentrndose en el manejo corporativo, las normas ticas
y el control interno.
Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el control
interno.
OBJETIVOS DE COSO
Control Interno
Alinear el riesgo aceptado y la estrategia
Mejorar las decisiones de respuesta a los riesgos.
Reducir las sorpresas y prdidas operativas
Identificar y gestionar la diversidad de riesgos para toda la entidad
Aprovechar las oportunidades
Mejorar la dotacin de capital
El Gobierno Corporativos incluye las
siguientes capacidades:
Coso Internal Control Integrated Framework
Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de
rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.
Con el Gobierno Corporativo permite asegurar una informacin eficaz y el
cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de
la entidad y sus consecuencias derivadas.
Definicin de la Gobierno Corporativo
Coso Internal Control Integrated Framework
El marco de Gobierno Corporativo est orientado a alcanzar
los objetivos de la entidad, que se pueden clasificar en cuatro
categoras:
El Gobierno Corporativo es un proceso efectuado por el consejo de
administracin de una entidad, su direccin y restante personal,
aplicable a la definicin de estrategias en toda la empresa y diseado
para identificar eventos potenciales que puedan afectar a la
organizacin, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los objetivos.
Estrategia: objetivos a alto nivel, alineados con la misin de la entidad y
dndole apoyo
Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos
Informacin: objetivos de fiabilidad de la informacin suministrada.
Cumplimiento: objetivos relativos al cumplimiento de leyes y normas
aplicables.
Componentes del Gobierno Corporativo
EL Gobierno Corporativo consta de ocho componentes relacionados
entre s, que se derivan de la manera en que la direccin conduce la
empresa y cmo estn integrados en el proceso de gestin.
Ambiente interno: establece la base de cmo el personal de la entidad
percibe y trata los riesgos.
Establecimiento de objetivos: los objetivos deben de existir antes de que la
direccin pueda identificar potenciales eventos que puedan afectar a su
consecucin.
Identificacin de eventos: tanto internos como externos que afectan a los
objetivos de la entidad.
Evaluacin de riesgos: se analizan considerando su probabilidad e impacto
como base para determinar como deben de ser gestionados.
Respuesta al riesgo: las posibles respuestas evitar, aceptar, reducir o
compartir los riesgos.
Actividades de control: las polticas y procedimientos se establecen e
implantan para ayudar a asegurar que las respuestas a los riesgos son
eficaces.
Informacin y comunicacin: la informacin relevante se identifica, capta y
comunica para que el personal pueda afrontar sus responsabilidades.
Supervisin: la supervisin se lleva a cabo mediante actividades de la
direccin o evaluaciones independientes.
Componentes de la gestin de Buen Gobierno Corporativo
Funciones y responsabilidades
La Alta Gerencia es la responsable ltima del sistema de control. La integridad y la tica
deben ser elementos que aporten ejemplo a los dems empleados. Debe dirigir a los
gerentes que a su vez son los responsables en sus respectivas reas.
El Consejo de Administracin fija las pautas y la visin global del negocio. El Consejo
debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe
asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas
financieras, legales y de auditora interna.
La Auditora Interna debe desempear un papel de supervisin sobre la eficiencia y
permanencia de los sistemas de control. Para ello debe contar con una ubicacin jerrquica
adecuada.
Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar
el control interno, cuyos detalles deben ser incorporados a la descripcin de los puestos de
trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los cdigos
de conducta, a las polticas establecidas o la legalidad de las acciones realizadas.
Coso Internal Control Integrated Framework
Determinacin de los
Objetivos.
Objetivos globales (tales como
la Misin).
Objetivos especficos de las
diversas actividades (por ej.
Produccin), estos sub-
objetivos medibles a travs de
metas deben ser coherentes.
Coso Internal Control Integrated Framework
Los objetivos deben ser:
Definidos de modo de
identificar los criterios para
medir el rendimiento y
establecer factores crticos de
xito (que pueden ser a nivel
de actividad o unidad
operacional).
Coherentes y compatibles.
Como ejemplo se puede
considerar: efectuar pagos
slo para compras
autorizadas, que los sistemas
informticos se encuentren
disponibles segn los
requerimientos del negocio,
etc.
Evaluacin de riesgos
Debe asegurase que se obtenga
informacin de calidad y no meros
datos.
La informacin debe ser protegida
ya que se trata de un activo valioso.
Las vas de comunicacin interna
deben asegurar que el personal
conozca los elementos suficientes
para cumplir con su tarea.
Informacin y comunicacin
Las actividades de supervisin
continua y evaluaciones puntuales.
Las deficiencias detectadas deben
ser oportunamente comunicadas.
Supervisin
Marcos Regulatorios del Buen Gobierno
Legislacin extranjera de implantacin en "branch offices".
Decisiones del Consejo Europeo (emergentes).
Pretender preparar un marco para el desarrollo nacional.
Agencias Gubernamentales:
AGPD.
Ministerio de Industria.
Ministerio del Interior.
Foros sectoriales:
Asociaciones Profesionales.
Basilea II
Utilidad del Cuadro de Mando Integral
BalancedScoredCard:
Lenguaje comn entre entornos diferentes.
Establecimiento de un mapa estratgico con
"dnde queremos estar".
Estudio del impacto de determinadas
acciones:
Seleccionar acciones.
Estudiar el impacto en el BSC.
Elaborar una regla.
20
ISO/IEC 38500. Corporate Governance of IT
URL:: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639
ISO 38500
OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologas de la informacin de manera
efectiva, optima y eficiente en las organizaciones, con la finalidad de:
Generar confianza en los stakeholders (empleados, clientes, proveedores,
socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organizacin.
Informar y guiar a la alta direccin en el gobierno TIC en su organizacin.
Proveer de bases para la evaluacin objetiva del Gobierno Corporativo TIC
ISO/IEC 38500:2008
Adecuada aplicacin y operacin de activos de TIC.
Asignacin de responsabilidades.
Continuidad del negocio
Sostenibilidad.
Alineacin de TIC con los objetivos del negocio.
Asignacin eficiente de recursos.
Innovacin en los servicios, los mercados y las empresas.
Mejora de imagen y reputacin en el mercado frente a los reguladores,
agentes sociales y con los stakeholders.
Optimizacin en los costes de una organizacin
Inversin efectiva en TIC.
Cumplimiento legal.
BENEFICIOS DE LA IMPLANTACIN DEL ESTNDAR:
ISO/IEC 38500:2008
Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de
rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.
Con el Gobierno Corporativo permite asegurar una informacin eficaz y el
cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de
la entidad y sus consecuencias derivadas.
ISO38500
MODELO
ISO/IEC 38500:2008
La Norma establece los principios para el buen gobierno
corporativo de TIC:
Responsabilidad
Estrategia
Inversin
Rendicin de Resultados
Cumplimiento
Recursos Humanos
En cada uno de los principios de la Norma es necesario realizar
estas tres tareas principales:
EVALUAR el uso actual y futuro de las TIC.
DIRIGIR la preparacin y ejecucin de planes y polticas para
garantizar que el uso de TIC cumple los objetivos empresariales.
MONITORIZAR la conformidad con las polticas, y los resultados
de los planes.
25
ISO/IEC 38500. Corporate Governance of IT
Independencia de las herramientas
Definicin clara del concepto y sus lmites
Identificacin de los destinatarios del mensaje
Sencillez del propio mensaje a travs de la proclamacin
de unos principios
26
ISO/IEC 38500. Principios
Claro establecimiento de responsabilidades sobre las TIC
Planificacin de las TIC para un mejor soporte de la
organizacin
Adquisicin de TIC de forma vlida
Garanta de unas TIC que funcionan bien y cuando son
requeridas
Garanta de unas TIC que cumplen (y ayudan a cumplir) con la
normativa formalmente establecida
Garanta de unas TIC cuyo uso respeta los factores humanos
27
ISO/IEC 38500. Cuestiones comprensibles
Los individuos de su organizacin entienden y aceptan su
responsabilidad sobre las TIC?
Sus planes tecnolgicos soportan los planes corporativos de su
organizacin y cubren las necesidades presentes y futuras de la misma?
Las adquisiciones de TIC se realizan por razones aprobadas y de la
forma aprobada?
Su marco TIC garantiza adecuadamente la continuidad y sostenibilidad
de su organizacin?
Su marco TIC es conforme a regulaciones externas y/o internas?
Su entorno TIC cumple con las necesidades de la gente involucrada en
el proceso?
Control Objetives for Information and Related Tecnology
ISO38500 COBIT
Consejos de Administracin y
Altos Ejecutivos
Gerencias de Lnea y de TI
Profesionales de la Gobernanza, la Evaluacin de Garanta, el Control y la Seguridad
Indicadores Clave de Rendimiento
Indicadores Clave de Objetivo
Modelos de Madurez
Resumen Ejecutivo
Directrices
de Gestin
Qu es el Marco de
Referencia para la
Gobernanza de TI?
Cmo evaluarlo?
Como presentarlo e
implantarlo?
Objetivos de Control
Cales son sus
Responsabilidades?
Marco de Referencia
Gua de
Evaluacin de Garanta de TI Gua de Implantacin de
Gobernanza de TI
Prcticas de Control
MARCO DE REFERENCIA
La principal cualidad de CobiT es su orientacin hacia los
OBJETIVOS de la ACTIVIDAD de la Organizacin y cmo TIC
apoya su logro
ISO38500 COBIT
MARCO DE REFERENCIA EL CUBO DE COBIT
R
E
C
U
R
S
O
S
d
e
T
I
E
F
I
C
A
C
I
A
E
F
I
C
A
C
I
A
E
F
I
C
I
E
N
C
I
A
E
F
I
C
I
E
N
C
I
A
C
O
N
F
O
R
M
I
D
A
D
C
O
N
F
O
R
M
I
D
A
D
F
I
A
B
I
L
I
D
A
D
F
I
A
B
I
L
I
D
A
D
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
D
I
S
P
O
N
I
B
I
L
I
D
A
D
D
I
S
P
O
N
I
B
I
L
I
D
A
D
I
N
T
E
G
R
I
D
A
D
I
N
T
E
G
R
I
D
A
D
DOMINIOS DOMINIOS
PROCESOS PROCESOS
ACTIVIDADES ACTIVIDADES
P
E
R
S
O
N
A
S
P
E
R
S
O
N
A
S
A
P
L
I
C
A
C
I
O
N
E
S
A
P
L
I
C
A
C
I
O
N
E
S
I
N
F
R
A
E
S
T
R
U
C
T
U
R
A
I
N
F
R
A
E
S
T
R
U
C
T
U
R
A
I
N
F
O
R
M
A
C
I
I
N
F
O
R
M
A
C
I
N N
C
o
n
j
u
n
t
o
e
s
t
r
u
c
u
t
r
a
d
o
d
e
P
R
O
C
E
S
O
S
d
e
T
I
REQUISITOS de la ORGANIZACIN
para la INFORMACIN
ISO38500 COBIT
OBJETIVOS DE CONTROL
El conjunto estructurado de 34 PROCESOS
[objetivos de control de alto nivel] se agrupa de forma
natural en 4 DOMINIOS.
[PO] PLANIFICARy ORGANIZAR 10 Procesos de TI
[AI] ADQUIRIRe IMPLANTAR 07 Procesos de TI
[DS] ENTREGARy SOPORTAR (dar soporte) 13 Procesos de TI
[ME] MONITORIZAR y EVALUAR 04 Procesos de TI
ISO38500 COBIT
OBJETIVOS DE LA ENTIDAD
OBJETIVOS DE GOBIERNO CORPORATIVO
Eficiencia
Personas
Aplicaciones
Infraestructura
Informacin
ENTREGAR
Y
SOPORTAR
MONITORIZAR
Y
EVALUAR
ADQUIRIR
E
IMPLANTAR
INFORMACION
RECURSOS
DE
TI
MARCO DE REFERENCIA
C O B I T
Eficacia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Trata la entrega o la prestacin de
los servicios requeridos -
desde las operaciones
tradicionales, hasta la
formacin; pasando por la
seguridad en los sistemas y
las continuidad de las
operaciones -.
Debern establecerse los procesos
necesarios para la provisin
de los servicios.
Todos los procesos han de evaluarse
peridicamente para verificar su
calidad y suficiencia en cuanto a
los requisitos de control.
Advierte a la Direccin sobre la
necesidad de garantizar
procesos de control
independientes (auditoras).
Cubre las estrategias y las
tcticas para identificar la
forma en la que la TI puede
contribuir de la mejor
manera al logro de los
objetivos de la
Organizacin.
La consecucin de la visin
estratgica debe planearse,
comunicarse y gestionarse
desde diferentes
perspectivas.
Es necesario establecer una
organizacin e
infraestructura tecnolgica
apropiada.
Para llevar a cabo la estrategia de
TI, stas deben identificarse,
construirse o adquirirse,
implantndose e
integrndose en el proceso
de la Organizacin.
Contempla, asimismo, los cambios
y mantenimiento de
sistemas existentes, para
garantizar su continuidad.
PLANIFICAR
Y
ORGANIZAR
Fiabilidad
OBJETIVOS DE CONTROL
ISO38500 COBIT
OBJETIVOS DE CONTROL
OBJETIVOS DE LA ENTIDAD
OBJETIVOS DE GOBIERNO CORPORATIVO
Eficiencia
Personas
Aplicaciones
Infraestructura
Informacin
ENTREGAR
Y
SOPORTAR
MONITORIZAR
Y
EVALUAR
ADQUIRIR
E
IMPLANTAR
INFORMACION
RECURSOS
DE
TI
MARCO DE REFERENCIA
C O B I T
Eficacia
Confidencialidad
Integridad
Disponibilidad
Conformidad
DS1 Definir y administrar niveles
de servicio.
DS2 Administrar servicios de
terceros.
DS3 Administrar desempeo y
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de
apoyo e incidentes.
DS9 Administrar la configuracin.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente
fsico.
DS13 Administrar operaciones.
ME1 Monitorear y Evaluar el
desempeo de TI.
ME2 Monitorear y Evaluar el
control interno.
ME3 Garantizar el
cumplimiento
regulatorio.
ME4 Proveer Gobierno de TI.
PO1 Definir un plan estratgico
de TI.
PO2 Definir la arquitectura de
informacin.
PO3 Determinar la direccin
tecnolgica.
PO4 Definir los procesos de TI,
la organizacin y sus
relaciones.
PO5 Administrar las inversiones
en TI.
PO6 Comunicar la direccin y
objetivos de la gerencia.
PO7 Administrar los recursos
humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar
riesgos de TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones de
automatizacin.
AI2 Adquirir y mantener
software de aplicacin.
AI3 Adquirir y mantener la
infraestructura tecnolgica.
AI4 Permitir la operacin y uso.
AI5 Obtener recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar
soluciones y cambios.
PLANIFICAR
Y
ORGANIZAR
Fiabilidad
ISO38500 COBIT
DIRECTRICES DE GESTIN
Entradas y Salidas del Proceso
Actividades y Matriz RACI
Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades
KGI - Indicadores clave de objetivos
KPI - Indicadores clave de rendimiento
ISO38500 COBIT
ISO 38500 COBIT
DIRECTRICES DE GESTIN. MODELOS DE MADUREZ
Val ITy CobiT