Download - COBIT Proporciona Guías Bajo La Forma De
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
1/12
COBIT proporciona guas bajo la forma de procesos recomendados para supervisar y evaluarlas TI (dominio ME), cubriendo la medicin del desempeo, la efectividad del control interno,conformidad con requisitos externos y la consecucin de un eficaz gobierno corporativo.
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
2/12
MONITOREO Y EVALUACION
ENTRE GAR Y DAR SO PO RT E ADQ UIRIR E IMPLANAR
PLANEAR Y ORGANIZAR
INFORMACION
RECURSOS DE TECNOLOGIAS DE INFORMACIONN
Eficienci
Eficacia
Cumplimient
Inte rid
Disponibilid
ConfiabilidaConfidenciali
Aplicaciones Informacin Infraestructura Gente
MARCO
DE
TRABAJO DEL COBIT
PO1 Definir un plan estratgico de TI
PO2 Definir la arquitectura de la
informacin.
PO3 Determinar direccin tecnolgica.
PO4 Definir los procesos,
organizacin y relaciones de TI.
PO5 Administrar la inversin en TI.
PO6 Comunicar las aspiraciones y
direccin de la gerencia.
PO7 Administrar los recursos humanos
de TI. PO8 Administrar la calidad.
PO9 Evaluar y administrar los riesgos
AI1 Identificar soluciones
automatizadas.
AI2 Adquirir y mantener software
aplicativo.
AI3 Adquirir y mantener
infraestructura tecnolgica.
AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI .
AI6 Administrar cambios
DS1 Definir y administrar niveles de
servicio.
DS2 Administrar los servicios de
terceros.
DS3 Administrar el desempeo y la
capacidad.
DS4 Garantizar la continuidad de
servicio.
DS5 Garantizar la seguridad de los
sistemas.
DS6 Identifica y asignar costos. DS7 Educar y entrenar usarlos.
DS8 Administrar la mesa de servicios
DS9 Administrar la configuracin.
ME1 Monitorear y
Evaluar el
desempeo de TI
ME2 Monitorear yevaluar el control
interno
ME3 Garantizar el
cumplimiento
OBEJTIVOS DE NEGOCIO Y
OBJETIVOS DE GOBIERNO
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
3/12
Monitorizacin y evaluacin (ME)
Todos los procesos de TI deben evaluarse de forma regular en el tiempo encuanto a su calidad y cumplimiento de los requerimientos de control. Estedominio abarca la administracin del desempeo, el monitoreo del controlinterno, el cumplimiento regulatorio y la aplicacin del gobierno. Por logeneral abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los problemas antes dequesea demasiado tarde?
La Gerencia garantiza que los controles internos son efectivos yeficientes?
Puede vincularse el desempeo de lo que TI ha realizado con lasmetasdel negocio?
Se miden y reportan los riesgos, el control, el cumplimiento y eldesempeo?
ME es el ltimo dominio que se centra en la supervisin de los sistemas
con tal de:
Garantizar la alineacin con la estratgica del negocio Verificar las desviaciones en base a los acuerdos del nivel de
servicio Validar el cumplimiento regulatorio
Esta supervisin implica paralelamente la verificacin de los controles porparte de auditores (internos o externos), ofreciendo una visin objetiva de lasituacin y con independencia del responsable del proceso.
El estndar Cobit define los siguientes 4 procesos:
ME1 Monitorizacin y evaluacin del rendimiento ME2 Monitorizacin y evaluacin del control interno ME3 Asegurar el cumplimiento con requerimientos externos ME4 Buen gobierno
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
4/12
ME3 Garantizar el Cumplimiento conRequerimientos Externos
Una supervisin efectiva del cumplimiento requiere del establecimiento de unproceso de revisin para garantizar el cumplimiento de las leyes,regulaciones y requerimientos contractuales. Este proceso incluye laidentificacin de requerimientos de cumplimiento, optimizando y evaluandola respuesta, obteniendo aseguramiento que los requerimientos se hancumplido y, finalmente integrando los reportes de cumplimiento de TI con elresto del negocio.
Enfocndose en:
Un Control sobre el
Garantizan el cumplimiento
Que satisface el requerimiento del negocio de TI para Cumplir las leyesre ulaciones
La identificacin de todas las leyes y regulacionesaplicables y el nivel correspondiente de cumplimiento de TIy laOptimizacin de los procesos de TI para reducir el
Se lo ra con
Y se mide con El costo del no cumplimiento de TI, incluyendo arreglos y multas Tiempo promedio de demora entre la identificacin de losproblemas externos de cumplimiento y su resolucin Frecuencia de revisiones de cumplimiento
La identificacin de los requisitos legales y regulatoriosrelacionados con TI La evaluacin del impacto de los requisitos regulatorios
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
5/12
OBJETIVOS DE CONTROL
NOTA:
Asegurarse en una base de continuidad que las leyes locales einternacionales, las reglamentaciones y cualquier otro requerimientoexterno que deba ser cumplido, este incorporado en las polticasestndares, procesos (y por consiguiente sistemas) de laOrganizacin. Determinar el impacto que esto tiene en los sistemasRiesgos:
Posibles perdidas Incrementar el riesgo de la continuidad del negocio debido a
sanciones impuestas por los reguladores. Riesgo de no cumplimiento debido a la ignorancia de ciertas
leyes Identificacin de las buenas prcticas.
Valores: Mejoramiento de la conciencia de los requerimientos legales. Desempeo mejorado de la Corporacin.
NOTA:Evaluar riesgos y optimizar el perfil de riesgos organizacionalescon un portafolio de iniciativas, tcticas y actividades
Identificacin de Riesgos Anlisis de Riesgos
ME3.
ME3.
ME3.
ernacionales, regulaciones, y otros requerimientos externos que se deben de cumplir para incorporar en las pol
Identificar los Requerimientos de las Leyes, Regulaciones yCum limientos Contractuales
Optimizar la Respuesta a Requerimientos Externos
cas, estndares, procedimientos y metodologas de TI para garantizar que los requisitos legales, regulatorios y co
Evaluacin del Cumplimiento con Requerimientos Externos
Confirmar el cumplimiento de polticas, estndares, procedimientos y metodologas de TI con requerimientos le
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
6/12
Optimizacin de Riesgos
NOTA: Definir e implantar procedimientos para obtener y reportar un
aseguramiento del cumplimiento.
Mantener la integridad a lo largo de todo el ciclo de vida delprocesamiento. Definir los procedimientos de manejo de errores durante la
generacin de los datos que aseguran de forma razonable ladeteccin, el reporte y la correccin de errores e irregularidades.
Riesgo: Falta de evidencia en los errores producidos. Errores de datos no detectados.
Valor:
Errores de procesamiento detectados oportunamente. Posibilidad de investigar errores.
NOTA:
Informar Integrar:
Capturar, documentar y administrar informacin de GRC para que fluya deforma eficiente y precisa vertical y horizontalmente a travs de la empresaextendida y hacia los externos.
Administracin de Informacin y Documentacin Comunicaciones Internas y Externas Tecnologa e Infraestructura
ME3.
ME3.
Aseguramiento Positivo del Cumplimiento
s internas o requerimientos legales externos, regulatorios o contractuales, confirmando que se ha tomado cualq
Reportes Integrados
Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares prfunciones del negocio.
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
7/12
DIRECTRICES GERENCIALES
Desde Entradas
* Requerimientos de cumplimiento legal y
regulatorio
PO6 polticas de TI
Salidas Hacia
Catlogo de requerimientos legales y
regulatorios relacionados con la prestacin del
servicio de TI
PO4 ME4
Reporte sobre el cumplimiento de las
actividades de TI con los requerimientos
externos legales y regulatorios
ME4
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
8/12
* Entradas provenientes de fuentes externas a COBI
Matriz RACI
Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado
Definir y ejecutar un proceso para identificar los requerimientos legales, contractuales de
polticas y regulatorios
A/R C I I I C I R
Evaluar cumplimiento de actividades de TI con polticas, estndares y procedimientos de TI I I I
A/R I R R R R R R I
Reportar aseguramiento positivo del cumplimiento de las actividades de TI con las
polticas,planes y procedimientos de TIA/R C C C C C C R
Brindar retro alimentacin para alinear las polticas, estndares y procedimientos de TI con
los requerimientos de cumplimiento A/R C C C C C R
Integrar los reportes de TI sobre requerimientos regulatorios con similares provenientes de
otras funciones del negocio A/R I I I R I R
FUNCIONES
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
9/12
Metas y Mtricas
TI
Garantizar elcumplimiento de TIcon las leyesy regulaciones
PROCESOS
Identificar todas las leyes y regulacionesaplicables e identificar el nivel decumplimiento de TI
Procurar la alineacin de las polticas,estndares y procedimientos de TI paramanejar de forma eficiente los riesgos denocumplimiento
Minimizar el impacto al negocio de loseventos de cumplimiento identificados
ACTIVIDADES
Identificar los requerimientoslegales yregulatorios relacionados con TI Entrenar al personal de TI sobre suresponsabilidad de cumplimiento Evaluar el impacto de losrequerimientosregulatorios Monitorear y reportar elcumplimiento de losrequerimientos regulatorios
METAS
ESTAB
ESTAB
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
10/12
Demora promedio entre laidentificacin de los eventos externosde cumplimiento y su resolucin
Retraso de tiempo promedio entrelapublicacin de una nueva ley oregulacin y elinicio de la revisin decumplimiento
Das de entrenamiento porempleado de TI por ao, referentes alcumplimiento
M
E
TA
S
# de problemas crticos de nocumplimientoidentificados por ao
Frecuencia de revisiones decumplimiento
Costo del nocumplimiento de TI ,incluyendo arreglos y
multas
# de problemas de nocumplimiento reportados alconsejo directivo , o quehayancausado comentarios overgenza pblica
MIDEMIDEMIDEDIRIG DIRIG
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
11/12
MODELO DE MADUREZ
La administracin del proceso de Garantizar el cumplimiento conrequerimientos externos que satisfaga el requerimiento de negocio de TI deasegurar el cumplimiento de las leyes, regulaciones y requerimientoscontractuales es:
0 No Existente cuandoExiste poca conciencia respecto a los requerimientos externos que afectan a
TI, sin procesos referentes al cumplimiento de requisitos regulatorios,legales y contractuales.
1 Inicial / Ad Hoc cuandoExiste conciencia de los requisitos de cumplimiento regulatorio, contractualy legal que tienen impacto en la organizacin. Se siguen procesosinformales para mantener el cumplimiento, pero solo si la necesidad surgeen nuevos proyectos o como respuesta a auditoras o revisiones.
2 Repetible pero Intuitivo cuandoExiste el entendimiento de la necesidad de cumplir con los requerimientosexternos y la necesidad se comunica. En los casos en que el cumplimientose ha convertido en un requerimiento recurrente, como en losrequerimientos financieros o en la legislacin de privacidad, se handesarrollado procedimientos individuales de cumplimiento y se siguen ao aao. No existe, sin embargo, un enfoque estndar. Hay mucha confianza enel conocimiento y responsabilidad de los individuos, y los errores sonposibles. Se brinda entrenamiento informal respecto a los requerimientosexternos y a los temas de cumplimiento.
3 Definido cuandoSe han desarrollado, documentado y comunicado polticas, procedimientos yprocesos, para garantizar el cumplimiento de los reglamentos y de lasobligaciones contractuales y legales, pero algunas quiz no se sigan yalgunas quiz estn desactualizadas o sean poco prcticas de implementar.Se realiza poco monitoreo y existen requisitos de cumplimiento que no hansido resueltos. Se brinda entrenamiento sobre requisitos legales yregulatorios externos que afectan a la organizacin y se instruye respecto alos procesos de cumplimiento definidos. Existen contratos pro forma yprocesos legales estndar para minimizar los riesgos asociados con lasobligaciones contractuales.
4 Administrado y Medible cuandoExiste un entendimiento completo de los eventos y de la exposicin arequerimientos externos, y la necesidad de asegurar el cumplimiento atodos los niveles. Existe un esquema formal de entrenamiento que aseguraque todo el equipo est consciente de sus obligaciones de cumplimiento.Las responsabilidades son claras y se entiende el empoderamiento de losprocesos. El proceso incluye una revisin del entorno para identificarrequerimientos externos y cambios recurrentes. Existe un mecanismoimplantado para monitorear el no cumplimiento de los requisitos externos,reforzar las prcticas internas e implementar acciones correctivas. Loseventos de no cumplimiento se analizan de forma estndar en busca de las
causas raz, con el objetivo de identificar soluciones sostenibles. Buenas
-
8/14/2019 COBIT Proporciona Guas Bajo La Forma De
12/12
prcticas internas estandarizadas se usan para necesidades especficastales como reglamentos vigentes y contratos recurrentes de servicio.
5 Optimizado cuandoExiste un proceso bien organizado, eficiente e implantado para cumplir conlos requerimientos externos, basado en una sola funcin central que brindaorientacin y coordinacin a toda la organizacin. Hay un amplioconocimiento de los requerimientos externos aplicables, incluyendo sustendencias futuras y cambios anticipados, as como la necesidad de nuevassoluciones. La organizacin participa en discusiones externas con gruposregulatorios y de la industria para entender e influenciar los requerimientosexternos que la puedan afectar. Se han desarrollado mejores prcticas queaseguran el cumplimiento de los requisitos externos, y esto ocasiona quehaya muy pocos casos de excepciones de cumplimiento. Existe un sistemacentral de rastreo para toda la organizacin, que permite a la gerenciadocumentar el flujo de trabajo, medir y mejorar la calidad y efectividad delproceso de monitoreo del cumplimiento. Un proceso externo de auto-
evaluacin de requerimientos existe y se ha refinado hasta alcanzar el nivelde buena prctica. El estilo y la cultura administrativa de la organizacinreferente al cumplimiento es suficientemente fuerte, y se elaboran losprocesos suficientemente bien para que el entrenamiento se limite al nuevopersonal y siempre que ocurra un cambio significativo.