Está en la página 1de 39

COBIT 4.

1 MONITOREAR Y
EVALUAR

AUDITORA INFORMTICA
DEFINICIN DE COBIT

OBJETIVOS DE CONTROL PARA LA


INFORMACION Y LA TECNOLOGIA
RELACIONADA
DOMINIOS DE TI
Planeacin y Organizacin

Adquisicin e implementacin

Prestacin de Servicios y Soporte

Monitorear y Evaluar
DOMINIOS DE TI

Monitorear y evaluar
Evaluar regularmente todos los procesos de TI para determinar su
calidad y el cumplimiento de los requerimientos de control.

Se mide el desempeo de TI para detectar los problemas antes de que


sea demasiado tarde? La Gerencia garantiza que los controles internos
son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha
realizado con las metas del negocio? Se miden y reportan los riesgos, el
control, el cumplimiento y el desempeo?
PROCESOS DE TI

Monitoreo /
Seguimiento

1. Monitorear y Evaluar el desempeo de TI


2. Monitorear y Evaluar el control interno
3. Garantizar el cumplimiento regulatorio
4. Proporcionar gobierno de TI
PROCESOS DE TI

Monitoreo /
Seguimiento

1. Monitorear y Evaluar el desempeo de TI

Que satisface el requisito de negocio para

Transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles


de servicio de TI de acuerdo con los requisitos de gobierno.

Toma en consideracin

Mtodo de monitoreo
Evaluacin del desempeo
Reportes al consejo directivo y a ejecutivos
Acciones correctivas
OBJETIVOS DE CONTROL
ME1 Monitorear y Evaluar el Desempeo de TI

ME1.1 Enfoque del Monitoreo

Establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la


metodologa y el proceso a seguir para

medir la solucin y la entrega de servicios de TI, y Monitorear la contribucin de TI al negocio.


Integrar el marco de trabajo con el

sistema de administracin del desempeo corporativo.

ME1.2 Definicin y Recoleccin de Datos de Monitoreo

Trabajar con el negocio para definir un conjunto balanceado de objetivos de desempeo y tenerlos
aprobados por el negocio y otros

interesados relevantes. Definir referencias con las que comparar los objetivos, e identificar datos
disponibles a recolectar para medir

los objetivos. Se deben establecer procesos para recolectar informacin oportuna y precisa para
reportar el avance contra las metas.
OBJETIVOS DE CONTROL
ME1.3 Mtodo de Monitoreo

Garantizar que el proceso de monitoreo implante un mtodo (Ej. Balanced


Scorecard), que brinde una visin sucinta y desde todos los

ngulos del desempeo de TI y que se adapte al sistema de monitoreo de la


empresa.

ME1.4 Evaluacin del Desempeo

Comparar de forma peridica el desempeo contra las metas, realizar anlisis de la


causa raz e iniciar medidas correctivas para

resolver las causas subyacentes.

ME1.5 Reportes al Consejo Directivo y a Ejecutivos

Proporcionar reportes administrativos para ser revisados por la alta direccin sobre
el avance de la organizacin hacia metas

identificadas, especficamente en trminos del desempeo del portafolio


empresarial de programas de inversin habilitados por TI,
OBJETIVOS DE CONTROL
niveles de servicio de programas individuales y la contribucin de TI a
ese desempeo. Los reportes de estatus deben incluir el grado
en el que se han alcanzado los objetivos planeados, los entregables
obtenidos, las metas de desempeo alcanzadas y los riesgos
mitigados. Durante la revisin, se debe identificar cualquier desviacin
respecto al desempeo esperado y se deben iniciar y reportar
las medidas de administracin adecuadas.
ME1.6 Acciones Correctivas
Identificar e iniciar medidas correctivas basadas en el monitoreo del
desempeo, evaluacin y reportes. Esto incluye el seguimiento
de todo el monitoreo, de los reportes y de las evaluaciones con:
Revisin, negociacin y establecimiento de respuestas de
administracin
Asignacin de responsabilidades por la correccin
Rastreo de los resultados de las acciones comprometidas.
MODELO DE MADUREZ
Monitorear y Evaluar el Desempeo de TI

ME1 Monitorear y Evaluar el Desempeo de TI

La administracin del proceso de Monitorear y evaluar el desempeo de TI que satisfaga los requerimientos de
negocio para TI de transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio
de TI, de acuerdo con los requisitos de gobierno es:

0 No Existente cuando
La organizacin no cuenta con un proceso implantado de monitoreo. TI no lleva a cabo monitoreo de proyectos o
procesos de forma independiente. No se cuenta con reportes tiles, oportunos y precisos. La necesidad de entender
de forma clara los objetivos de los procesos no se reconoce.

1 Inicial / Ad Hoc cuando


La gerencia reconoce una necesidad de recolectar y evaluar informacin sobre los procesos de monitoreo. No se han
identificado procesos estndar de recoleccin y evaluacin. El monitoreo se implanta y las mtricas se seleccionan
de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI especficos. El monitoreo por lo
general se implanta de forma reactiva a algn incidente que ha ocasionado alguna perdida o vergenza a la
organizacin. La funcin de contabilidad monitorea mediciones financieras bsicas para TI.

2 Repetible pero Intuitivo cuando


Se han identificado algunas mediciones bsicas a ser monitoreadas. Los mtodos y las tcnicas de recoleccin y
evaluacin existen, pero los procesos no se han adoptado en toda la organizacin. La interpretacin de los resultados
del monitoreo se basa en la
experiencia de individuos clave. Herramientas limitadas son seleccionadas y se implantan para recolectar
2007 IT Governance Institute. All rights reserved. www.itgi.org

informacin, pero esta recoleccin no se basa en un enfoque planeado.


3 Definido cuando
La gerencia ha comunicado e institucionalizado un procesos estndar de monitoreo. Se han implantado programas educacionales
y de entrenamiento para el monitoreo. Se ha desarrollado una base de conocimiento formalizada del desempeo histrico. Las
evaluaciones todava se realizan al nivel de procesos y proyectos individuales de TI y no estn integradas a travs de todos los
procesos. Se han definido herramientas para monitorear los procesos y los niveles de servicio de TI. Las mediciones de la
contribucin de la funcin de servicios de informacin al desempeo de la organizacin se han definido, usando criterios
financieros y operativos tradicionales. Las mediciones del desempeo especficas de TI, las mediciones no financieras, las
estratgicas, las de satisfaccin del cliente y los niveles de servicio estn definidas. Se ha definido un marco de trabajo para medir
el desempeo.

4 Administrado y Medible cuando


La gerencia ha definido las tolerancias bajo las cuales los procesos deben operar. Los reportes de los resultados del monitoreo
estn en proceso de estandarizarse y normalizarse. Hay una integracin de mtricas a lo largo de todos los proyectos y procesos de
TI. Los sistemas de reporte de la administracin de TI estn formalizados. Las herramientas automatizadas estn integradas y se
aprovechan en toda la organizacin para recolectar y monitorear la informacin operativa de las aplicaciones, sistemas y procesos.
La gerencia puede evaluar el desempeo con base en criterios acordados y aprobados por las terceras partes interesadas. Las
mediciones de la funcin de TI estn alienadas con las metas de toda la organizacin.

5 Optimizado cuando
Un proceso de mejora continua de la calidad se ha desarrollado para actualizar los estndares y las polticas de monitoreo a nivel
organizacional incorporando mejores prcticas de la industria. Todos los procesos de monitoreo estn optimizados y dan soporte a
los objetivos de toda la organizacin. Las mtricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeo,
y estn integradas en los marcos de trabajo estratgicos, tales como el Balanced Scorecard. El monitoreo de los procesos y el
rediseo continuo son consistentes con los planes de mejora de los procesos de negocio en toda la organizacin. Benchmarks
contra la industria y los competidores clave se han formalizado, con criterios de comparacin bien entendidos.
EJEMPLO
ME1 Monitorear y evaluar el desempeo de TI
Una empresa que tenga establecida una Mesa de servicios para el manejo de
incidentes por medio de generacin de tickets por los usuarios utiliza mtricas
para medir el desempeo de TI como por ejemplo el nmero de incidentes
reportados vs nmero de incidentes resueltos.
De acuerdo a los SLAs establecidos, se verifica el cumplimiento que los tiempos
de respuesta se encuentren dentro de los parmetros aceptables dependiendo
la importancia del proceso en base a los SLAs. Por ejemplo, si en un SLA se
determin que el tiempo de respuesta para un problema en el sistema de
facturacin en los cajeros de Fybeca es de mximo 15 minutos, la mtrica sera
verificar del total de fallos del sistema en el mes, cuantos fueron resueltos
dentro de los 15 minutos.
PROCESOS DE TI

Monitoreo /
Seguimiento

2. Monitorear y evaluar el control interno

Que satisface el requisito de negocio para

Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados


con TI.

Toma en consideracin
Monitorear el marco de trabajo de control interno
Revisiones de Auditora
Auto-evaluacin de control
Control interno para terceros
Acciones correctivas
Monitorear y evaluar
Monitorear y evaluar el control interno

control interno situaciones a informar

Como ya se indic las "situaciones a informar", son asuntos que llaman la atencin
del auditor, pues representan deficiencias importantes en el diseo y operacin de
la estructura del control interno, que a su juicio podran afectar negativamente la
capacidad de la organizacin.

Deficiencia en el diseo de la estructura del control interno


Diseo inadecuado de la estructura del control interno en general.

- Ausencia de una adecuada segregacin de funciones, acorde con los objetivos de control
establecidos.
- Falta de revisin y aprobacin adecuada de las transacciones, plizas contables o reportes
emitidos.

Fallas en el suministro de informacin completa y correcta de acuerdo con los objetivos de la


entidad, como consecuencia de omisiones en la aplicacin de los procedimientos de control.

- Violacin intencional de los controles establecidos, por parte de personal de alto nivel jerrquico.

- Fallas en la proteccin de los activos, contra prdidas, daos o uso indebido de los mismos.
EJEMPLO
ME2 Monitorear y evaluar el control interno
Un ejemplo de este proceso es monitorear y evaluar el cumplimiento de
polticas, como: no utilizar puertos USB, o tener los permisos para
navegacin, de acuerdo a lo estipulado en dicha poltica y procedimiento,
si se tiene una bitcora de uso y si se est monitoreando el cumplimiento
del mismo. Es decir, si alguien realiza el control de las pginas web a las
que se estn ingresando los empleados o se les arroja una alerta cuando
utilizan pginas como Facebook o Youtube cuando la poltica les prohbe.
PROCESOS DE TI

Monitoreo /
Seguimiento

3. Garantizar el cumplimiento regulatorio

Que satisface el requisito de negocio para

Cumplir las leyes y regulaciones.

Toma en consideracin
Identificar las leyes y regulaciones con impacto potencial sobre TI
Optimizar la respuesta a requerimientos regulatorios
Evaluacin del cumplimiento con requerimientos regulatorios
Aseguramiento positivo del cumplimiento
Reportes integrados
EJEMPLO
ME3 Garantizar el cumplimiento regulatorio
En la Superintendencia de Bancos se establece mtricas de canales electrnicos,
como por ejemplo: Proteccin contra clonacin de tarjetas.- Contar con
dispositivos electrnicos y/o elementos fsicos que impidan y detecten de manera
efectiva la colocacin de falsas lectoras de tarjetas, con el fin de evitar la clonacin
de tarjetas de dbito o de crdito, adems de los correspondientes mecanismos de
monitoreo en lnea de las alarmas que generen los dispositivos electrnicos en caso
de suscitarse eventos inusuales; para lo cual los auditores tanto internos o externos
verifican el cumplimiento de dichas regulaciones.

El rea de auditora interna y manejo de riesgos tecnolgicos realiza revisiones de


cumplimiento de las polticas y procedimientos, entre las funciones que desempea
el rea estn:

Definir y actualizar normativa de Sistemas de la Informacin


Definir estrategia de SI
Evaluar riesgos de SI
Seguimiento y control a plan operativo de SI
Gestionar incidentes de SI
Definir y actualizar perfiles de acceso
Emprender campaas de concientizacin Participar en proyectos de TI y del
Negocio
Generar informes y reportes de SI
Coordinar auditoras externas y cumplimientos regulatorios de SI
Apoyar en la estrategia de continuidad del negocio
Asesora y orientacin sobre SI
Liderar proyectos de SI

En caso de existir incidentes significativos, estos son informados a las Jefaturas de


cada Sub rea de Tecnologa y se escala al Subgerente de Sistemas.
PROCESOS DE TI

Monitoreo /
Seguimiento

4. Proporcionar gobierno de TI

Que satisface el requisito de negocio para

La integracin de un gobierno de TI con objetivos de gobierno corporativo y el


cumplimiento con las leyes y regulaciones

Toma en consideracin
Establecer un marco de trabajo de gobierno para TI
Alineamiento estratgico
Entrega de valor
Administracin de recursos
Administracin de riesgos
Medicin del desempeo
EJEMPLO
ME4 Proporcionar gobierno de TI
En Coroporacin GPF tiene establecido un gobierno de TI, para lo cual, como
mecanismo de Gobierno de Tecnologa, se cre un comit estratgico, conformado
por los altos directivos, con reuniones cada 2 meses, tratando temas de planificacin
y asignacin de recursos a proyectos. Los miembros que lo conforman son las
Gerencias Corporativas.
Adicionalmente se mantiene el Comit interno de Tecnologa donde se renen las
Jefaturas de TI para evaluar el avance de los proyectos existentes adems de realizar
un anlisis de las tareas de operacin diaria Las reuniones son realizadas cada uno o
dos meses.
RESUMEN Objetivos del Negocio Y CONCLUSIONES
IT. Governance
1. Definir un plan estratgico de TI
2. Definir la arquitectura de informacin
1. Monitorear y Evaluar el desempeo de TI 3. Determinar la direccin tecnolgica
2. Monitorear y Evaluar el control interno 4. Definir la organizacin y relaciones de la
3.
4.
Garantizar el cumplimiento regulatorio
Proporcionar gobierno de TI CobiT 5.
Funcin TI
Administrar la inversin en TI
6. Comunicacin de la directrices Gerenciales
7. Administracin del Recurso Humano
8. Administrar la Calidad
9. Evaluacin y Administracin de Riesgos
10. Administracin de Proyectos

Seguimiento Req. Informacin


Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad, Cumplimiento, Planeacin y
Confiabilidad Organizacin

1. Definicin del nivel de servicio


2. Administracin del servicio de terceros
3. Administracin de la capacidad y el desempeo Recursos de TI
4.
5.
Asegurar el servicio continuo
Garantizar la seguridad del sistema Datos, Aplicaciones Adquisicin e
6.
7.
Identificacin y asignacin de costos
Capacitacin de usuarios
Tecnologa, Instalaciones,
Recurso Humano
Implementacin
8. Soporte a los clientes de TI
9. Administracin de la configuracin
10. Administracin de problemas e incidentes
11. Administracin de datos 1. Identificacin de soluciones
12. Administracin de Instalaciones (Ambiente Fsico) 2. Adquisicin y mantenimiento de SW aplicativo
13. Administracin de Operaciones Prestacin de 3.
4.
Adquisicin y mantenimiento de arquitectura TI
Facilitar la Operacin y el uso
Servicio y 5.
6.
Adquirir recursos de TI
Administrar Cambios
Soporte 7. Instalar y acreditar soluciones y cambios