cobit proporciona guías bajo la forma de

8/14/2019 COBIT Proporciona Guas Bajo La Forma De

1/12

COBIT proporciona guas bajo la forma de procesos recomendados para supervisar y evaluarlas TI (dominio ME), cubriendo la medicin del desempeo, la efectividad del control interno,conformidad con requisitos externos y la consecucin de un eficaz gobierno corporativo.


2/12

MONITOREO Y EVALUACION

ENTRE GAR Y DAR SO PO RT E ADQ UIRIR E IMPLANAR

PLANEAR Y ORGANIZAR

INFORMACION

RECURSOS DE TECNOLOGIAS DE INFORMACIONN

Eficienci

Eficacia

Cumplimient

Inte rid

Disponibilid

ConfiabilidaConfidenciali

Aplicaciones Informacin Infraestructura Gente

MARCO

DE

TRABAJO DEL COBIT

PO1 Definir un plan estratgico de TI

PO2 Definir la arquitectura de la

informacin.

PO3 Determinar direccin tecnolgica.

PO4 Definir los procesos,

organizacin y relaciones de TI.

PO5 Administrar la inversin en TI.

PO6 Comunicar las aspiraciones y

direccin de la gerencia.

PO7 Administrar los recursos humanos

de TI. PO8 Administrar la calidad.

PO9 Evaluar y administrar los riesgos

AI1 Identificar soluciones

automatizadas.

AI2 Adquirir y mantener software

aplicativo.

AI3 Adquirir y mantener

infraestructura tecnolgica.

AI4 Facilitar la operacin y el uso

AI5 Adquirir recursos de TI .

AI6 Administrar cambios

DS1 Definir y administrar niveles de

servicio.

DS2 Administrar los servicios de

terceros.

DS3 Administrar el desempeo y la

capacidad.

DS4 Garantizar la continuidad de

servicio.

DS5 Garantizar la seguridad de los

sistemas.

DS6 Identifica y asignar costos. DS7 Educar y entrenar usarlos.

DS8 Administrar la mesa de servicios

DS9 Administrar la configuracin.

ME1 Monitorear y

Evaluar el

desempeo de TI

ME2 Monitorear yevaluar el control

interno

ME3 Garantizar el

cumplimiento

OBEJTIVOS DE NEGOCIO Y

OBJETIVOS DE GOBIERNO


3/12

Monitorizacin y evaluacin (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo encuanto a su calidad y cumplimiento de los requerimientos de control. Estedominio abarca la administracin del desempeo, el monitoreo del controlinterno, el cumplimiento regulatorio y la aplicacin del gobierno. Por logeneral abarca las siguientes preguntas de la gerencia:

Se mide el desempeo de TI para detectar los problemas antes dequesea demasiado tarde?

La Gerencia garantiza que los controles internos son efectivos yeficientes?

Puede vincularse el desempeo de lo que TI ha realizado con lasmetasdel negocio?

Se miden y reportan los riesgos, el control, el cumplimiento y eldesempeo?

ME es el ltimo dominio que se centra en la supervisin de los sistemas

con tal de:

Garantizar la alineacin con la estratgica del negocio Verificar las desviaciones en base a los acuerdos del nivel de

servicio Validar el cumplimiento regulatorio

Esta supervisin implica paralelamente la verificacin de los controles porparte de auditores (internos o externos), ofreciendo una visin objetiva de lasituacin y con independencia del responsable del proceso.

El estndar Cobit define los siguientes 4 procesos:

ME1 Monitorizacin y evaluacin del rendimiento ME2 Monitorizacin y evaluacin del control interno ME3 Asegurar el cumplimiento con requerimientos externos ME4 Buen gobierno


4/12

ME3 Garantizar el Cumplimiento conRequerimientos Externos

Una supervisin efectiva del cumplimiento requiere del establecimiento de unproceso de revisin para garantizar el cumplimiento de las leyes,regulaciones y requerimientos contractuales. Este proceso incluye laidentificacin de requerimientos de cumplimiento, optimizando y evaluandola respuesta, obteniendo aseguramiento que los requerimientos se hancumplido y, finalmente integrando los reportes de cumplimiento de TI con elresto del negocio.

Enfocndose en:

Un Control sobre el

Garantizan el cumplimiento

Que satisface el requerimiento del negocio de TI para Cumplir las leyesre ulaciones

La identificacin de todas las leyes y regulacionesaplicables y el nivel correspondiente de cumplimiento de TIy laOptimizacin de los procesos de TI para reducir el

Se lo ra con

Y se mide con El costo del no cumplimiento de TI, incluyendo arreglos y multas Tiempo promedio de demora entre la identificacin de losproblemas externos de cumplimiento y su resolucin Frecuencia de revisiones de cumplimiento

La identificacin de los requisitos legales y regulatoriosrelacionados con TI La evaluacin del impacto de los requisitos regulatorios


5/12

OBJETIVOS DE CONTROL

NOTA:

Asegurarse en una base de continuidad que las leyes locales einternacionales, las reglamentaciones y cualquier otro requerimientoexterno que deba ser cumplido, este incorporado en las polticasestndares, procesos (y por consiguiente sistemas) de laOrganizacin. Determinar el impacto que esto tiene en los sistemasRiesgos:

Posibles perdidas Incrementar el riesgo de la continuidad del negocio debido a

sanciones impuestas por los reguladores. Riesgo de no cumplimiento debido a la ignorancia de ciertas

leyes Identificacin de las buenas prcticas.

Valores: Mejoramiento de la conciencia de los requerimientos legales. Desempeo mejorado de la Corporacin.

NOTA:Evaluar riesgos y optimizar el perfil de riesgos organizacionalescon un portafolio de iniciativas, tcticas y actividades

Identificacin de Riesgos Anlisis de Riesgos

ME3.

ME3.

ME3.

ernacionales, regulaciones, y otros requerimientos externos que se deben de cumplir para incorporar en las pol

Identificar los Requerimientos de las Leyes, Regulaciones yCum limientos Contractuales

Optimizar la Respuesta a Requerimientos Externos

cas, estndares, procedimientos y metodologas de TI para garantizar que los requisitos legales, regulatorios y co

Evaluacin del Cumplimiento con Requerimientos Externos

Confirmar el cumplimiento de polticas, estndares, procedimientos y metodologas de TI con requerimientos le


6/12

Optimizacin de Riesgos

NOTA: Definir e implantar procedimientos para obtener y reportar un

aseguramiento del cumplimiento.

Mantener la integridad a lo largo de todo el ciclo de vida delprocesamiento. Definir los procedimientos de manejo de errores durante la

generacin de los datos que aseguran de forma razonable ladeteccin, el reporte y la correccin de errores e irregularidades.

Riesgo: Falta de evidencia en los errores producidos. Errores de datos no detectados.

Valor:

Errores de procesamiento detectados oportunamente. Posibilidad de investigar errores.

NOTA:

Informar Integrar:

Capturar, documentar y administrar informacin de GRC para que fluya deforma eficiente y precisa vertical y horizontalmente a travs de la empresaextendida y hacia los externos.

Administracin de Informacin y Documentacin Comunicaciones Internas y Externas Tecnologa e Infraestructura

ME3.

ME3.

Aseguramiento Positivo del Cumplimiento

s internas o requerimientos legales externos, regulatorios o contractuales, confirmando que se ha tomado cualq

Reportes Integrados

Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares prfunciones del negocio.


7/12

DIRECTRICES GERENCIALES

Desde Entradas

* Requerimientos de cumplimiento legal y

regulatorio

PO6 polticas de TI

Salidas Hacia

Catlogo de requerimientos legales y

regulatorios relacionados con la prestacin del

servicio de TI

PO4 ME4

Reporte sobre el cumplimiento de las

actividades de TI con los requerimientos

externos legales y regulatorios

ME4


8/12

* Entradas provenientes de fuentes externas a COBI

Matriz RACI

Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado

Definir y ejecutar un proceso para identificar los requerimientos legales, contractuales de

polticas y regulatorios

A/R C I I I C I R

Evaluar cumplimiento de actividades de TI con polticas, estndares y procedimientos de TI I I I

A/R I R R R R R R I

Reportar aseguramiento positivo del cumplimiento de las actividades de TI con las

polticas,planes y procedimientos de TIA/R C C C C C C R

Brindar retro alimentacin para alinear las polticas, estndares y procedimientos de TI con

los requerimientos de cumplimiento A/R C C C C C R

Integrar los reportes de TI sobre requerimientos regulatorios con similares provenientes de

otras funciones del negocio A/R I I I R I R

FUNCIONES


9/12

Metas y Mtricas

TI

Garantizar elcumplimiento de TIcon las leyesy regulaciones

PROCESOS

Identificar todas las leyes y regulacionesaplicables e identificar el nivel decumplimiento de TI

Procurar la alineacin de las polticas,estndares y procedimientos de TI paramanejar de forma eficiente los riesgos denocumplimiento

Minimizar el impacto al negocio de loseventos de cumplimiento identificados

ACTIVIDADES

Identificar los requerimientoslegales yregulatorios relacionados con TI Entrenar al personal de TI sobre suresponsabilidad de cumplimiento Evaluar el impacto de losrequerimientosregulatorios Monitorear y reportar elcumplimiento de losrequerimientos regulatorios

METAS

ESTAB

ESTAB


10/12

Demora promedio entre laidentificacin de los eventos externosde cumplimiento y su resolucin

Retraso de tiempo promedio entrelapublicacin de una nueva ley oregulacin y elinicio de la revisin decumplimiento

Das de entrenamiento porempleado de TI por ao, referentes alcumplimiento

M

E

TA

S

# de problemas crticos de nocumplimientoidentificados por ao

Frecuencia de revisiones decumplimiento

Costo del nocumplimiento de TI ,incluyendo arreglos y

multas

# de problemas de nocumplimiento reportados alconsejo directivo , o quehayancausado comentarios overgenza pblica

MIDEMIDEMIDEDIRIG DIRIG


11/12

MODELO DE MADUREZ

La administracin del proceso de Garantizar el cumplimiento conrequerimientos externos que satisfaga el requerimiento de negocio de TI deasegurar el cumplimiento de las leyes, regulaciones y requerimientoscontractuales es:

0 No Existente cuandoExiste poca conciencia respecto a los requerimientos externos que afectan a

TI, sin procesos referentes al cumplimiento de requisitos regulatorios,legales y contractuales.

1 Inicial / Ad Hoc cuandoExiste conciencia de los requisitos de cumplimiento regulatorio, contractualy legal que tienen impacto en la organizacin. Se siguen procesosinformales para mantener el cumplimiento, pero solo si la necesidad surgeen nuevos proyectos o como respuesta a auditoras o revisiones.

2 Repetible pero Intuitivo cuandoExiste el entendimiento de la necesidad de cumplir con los requerimientosexternos y la necesidad se comunica. En los casos en que el cumplimientose ha convertido en un requerimiento recurrente, como en losrequerimientos financieros o en la legislacin de privacidad, se handesarrollado procedimientos individuales de cumplimiento y se siguen ao aao. No existe, sin embargo, un enfoque estndar. Hay mucha confianza enel conocimiento y responsabilidad de los individuos, y los errores sonposibles. Se brinda entrenamiento informal respecto a los requerimientosexternos y a los temas de cumplimiento.

3 Definido cuandoSe han desarrollado, documentado y comunicado polticas, procedimientos yprocesos, para garantizar el cumplimiento de los reglamentos y de lasobligaciones contractuales y legales, pero algunas quiz no se sigan yalgunas quiz estn desactualizadas o sean poco prcticas de implementar.Se realiza poco monitoreo y existen requisitos de cumplimiento que no hansido resueltos. Se brinda entrenamiento sobre requisitos legales yregulatorios externos que afectan a la organizacin y se instruye respecto alos procesos de cumplimiento definidos. Existen contratos pro forma yprocesos legales estndar para minimizar los riesgos asociados con lasobligaciones contractuales.

4 Administrado y Medible cuandoExiste un entendimiento completo de los eventos y de la exposicin arequerimientos externos, y la necesidad de asegurar el cumplimiento atodos los niveles. Existe un esquema formal de entrenamiento que aseguraque todo el equipo est consciente de sus obligaciones de cumplimiento.Las responsabilidades son claras y se entiende el empoderamiento de losprocesos. El proceso incluye una revisin del entorno para identificarrequerimientos externos y cambios recurrentes. Existe un mecanismoimplantado para monitorear el no cumplimiento de los requisitos externos,reforzar las prcticas internas e implementar acciones correctivas. Loseventos de no cumplimiento se analizan de forma estndar en busca de las

causas raz, con el objetivo de identificar soluciones sostenibles. Buenas


12/12

prcticas internas estandarizadas se usan para necesidades especficastales como reglamentos vigentes y contratos recurrentes de servicio.

5 Optimizado cuandoExiste un proceso bien organizado, eficiente e implantado para cumplir conlos requerimientos externos, basado en una sola funcin central que brindaorientacin y coordinacin a toda la organizacin. Hay un amplioconocimiento de los requerimientos externos aplicables, incluyendo sustendencias futuras y cambios anticipados, as como la necesidad de nuevassoluciones. La organizacin participa en discusiones externas con gruposregulatorios y de la industria para entender e influenciar los requerimientosexternos que la puedan afectar. Se han desarrollado mejores prcticas queaseguran el cumplimiento de los requisitos externos, y esto ocasiona quehaya muy pocos casos de excepciones de cumplimiento. Existe un sistemacentral de rastreo para toda la organizacin, que permite a la gerenciadocumentar el flujo de trabajo, medir y mejorar la calidad y efectividad delproceso de monitoreo del cumplimiento. Un proceso externo de auto-

evaluacin de requerimientos existe y se ha refinado hasta alcanzar el nivelde buena prctica. El estilo y la cultura administrativa de la organizacinreferente al cumplimiento es suficientemente fuerte, y se elaboran losprocesos suficientemente bien para que el entrenamiento se limite al nuevopersonal y siempre que ocurra un cambio significativo.

cobit proporciona guías bajo la forma de

Documents