TEMA 4: MONITOREAR Y EVALUAR:

ME1 Monitorear y Evaluar el Desempeo de TI

Monitorear exactamente todos los procesos de las TI,deben evaluarse de forma peridica en cuanto asu
calidad y cumplimiento de los requerimientos de control,este dominio cubre la administracin del
desempeo,el monitoreo del control interno,el cumplimiento regulatorio y aplicacin del gobierno.

ME1.1 Enfoque del Monitoreo
Tenemos que tener todas las metodologas y procesos y tener el alcance para definir una solucin y asi
acoplar las TI al negocio.
ME1.2 Definicin y Recoleccin de Datos de Monitoreo
Al ya tener todas las metodologas y procesos podremos recolectar datos y definir referencias para comparar
los objetivos y asi reportar el avance.
ME1.3 Mtodo de Monitoreo
Garantiza el proceso de monitoreo de todos los ngulos del desempeo de TI y que se adapte al sistema de
monitoreo de la empresa.
ME1.4 Evaluacin del Desempeo
Hacer un anlisis peridicamente.
ME1.5 Reportes al Consejo Directivo y a Ejecutivos
Nos dan los reportes para que sean revisados por el consejo directivo como el ejecutivo.
ME1.6 Acciones Correctivas
Al ya aver realizado el monitoreo podemos identificar algunas acciones correctivas de los reportes y de las
evaluaciones.
MODELO DE MADUREZ
Satisfacer los requerimientos de negocio para TI de transparencia y entendimiento de los costos, beneficios,
estrategia, polticas y niveles de servicio de TI, de acuerdo con los requisitos de gobierno es:
0- No Existente cuando organizacin no lleva acabo proceso de monitoreo ,TI no monitorea proyectos o
precesos de forma independiente, adems no se cuenta con reportes tiles,oportunos.
1- Inicial / Ad Hoc la gerencia reconoce la necesidad de recolectar y evaluar inf sobre los procesos de
monitoreo,El monitoreo se implanta y las mtricas se seleccionan de acuerdo a cada caso, de acuerdo a las
necesidades de proyectos y procesos de TI especficos
2-Reptible pero Intuitivo
Los mtodos y las tcnicas de recoleccin y evaluacin existen, pero los procesos no se han adoptado en toda
la organizacion Herramientas limitadas son seleccionadas y se implantan para recolectar informacin, pero
esta recoleccin no se basa en un enfoque planeado.
3-Definido
La gerencia trabaja con procesos estndar de monitoreo. Se han implantado programas educacionales y de
entrenamiento para el monitoreo. Se han definido herramientas para monitorear los procesos y los niveles de
servicio de TI. Las mediciones del desempeo especificas de TI, las medicones no financieras , las de
satisfaccin al cliente y los niveles de servicio estn definidos.
4 -Administrado y Medible
La gerencia ha definido las tolerancias bajo las cuales los prcesos deben operar.L os reportes de los
resultados del monitoreo estn en proceso de estandarizarse y normalizarse. Hay una integracin de mtricas
a lo largo de todos los proyectos y procesos de TI. Las herramientas automatizadas estn integradas y se
aprovechan en toda la organizacin para recolectar y monitorear la informacin operativa de las aplicaciones,
sistemas y procesos
5 -Optimizado
Todos los procesos de monitoreo estn optimizados y dan soporte a los objetivos de toda la organizacin. Las
mtricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeoEl monitoreo de los
procesos y el rediseo continuo son consistentes con los planes de mejora de los procesos de negocio en toda
la organizacin
ME2 Monitorear y Evaluar el Control Interno
Este proceso incluye el monitoreo y reporte de excepciones de control, resultados de auto-evaluaciones y
revisin por parte de terceros. Proporciona seguridad respecto a las operaciones eficientes y efectivas y el
cumplimiento de las leyes y regulaciones aplicables
Se enfoca en:
El moni toreo de los procesos de control interno para las actividades relacionadas con TI e identificar las
acciones de mejoramiento, esto se logra con la definicin de un sistema de controles internos integrados en el
marco de trabajo de los procesos de TI , Monitorear y reportar la efectividad de los controles internos sobre TI
y se mide con Nmero de iniciativas para la mejora del control , Nmero y cubrimiento de auto evaluaciones
de control
OBJETIVOS DE CONTROL

- ME2.1 Monitoreo del Marco de Trabajo de Control Interno: Monitorear de forma continua, comparar y
mejorar el ambiente de control de TI
- ME2.2 Revisiones de Auditora: Monitorear y evaluar la eficiencia de los controles internos gerencia de TI.
- ME2.3 Excepciones de Control: Identificar las excepciones de control
- ME2.4 Control de Auto Evaluacin: Evaluar la completitud y efectividad de los controles de gerencia sobre
los procesos, polticas y contratos de TI
- ME2.5 Aseguramiento del Control Interno:
- ME2.6 Control Interno para Terceros
- ME2.7 Acciones Correctivas: Identificar, iniciar, rastrear e implementar acciones correctivas

DIRECTRICES GERENCIALES






Desde Entradas
AI7 Monitoreo de Controles Internos
ME1 Reporte de desempeo de procesos
Salidas Hacia
Reporte sobre la efectividad de los controles
de TI
PO4 PO6 ME1 ME4




MODELO DE MADUREZ


Las leyes y regulaciones relacionadas con la TI es:

0 No Existente cuando
La organizacin carece de procedimientos. Los mtodos de reporte de control interno gerenciales no
existen. La gerencia y los empleados no tienen conciencia general sobre el control interno.

1 Inicial / Ad Hoc cuando
La gerencia reconoce la necesidad de administrar y asegurar el control de TI de forma regular. La gerencia
de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los
controles internos.

2 Repetible pero Intuitivo cuando
La organizacin utiliza reportes de control informales para comenzar iniciativas de accin correctiva. La
organizacin tiene una mayor conciencia sobre el monitoreo de los controles internos. La gerencia de
servicios de informacin realiza monitoreo peridico sobre la efectividad de lo que considera controles
internos crticos.

3 Definido cuando
Se ha definido un programa de educacin y entrenamiento para el monitoreo del control interno. Se ha
definido tambin un proceso para auto-evaluaciones y revisiones de aseguramiento del control interno, con
roles definidos para los responsables de la administracin del negocio y de TI.
.


4 Administrado y Medible cuando
La gerencia tiene implantado un marco de trabajo para el monitoreo del control interno de TI. La
organizacin ha establecido niveles de tolerancia para el proceso de monitoreo del control interno. Se han
implantado herramientas para estandarizar evaluaciones y para detectar de forma automtica las
excepciones de control.

5 Optimizado cuando
Se ha establecido una funcin formal para el control interno de TI, con profesionales especializados y
certificados que utilizan un marco de trabajo de control formal avalado por la alta direccin. Se ha
establecido una base de datos de mtricas para informacin histrica sobre el monitoreo del control
interno. Se realizan revisiones entre pares para verificar el monitoreo del control interno.


DESCRIPCIN DEL PROCESO

ME3 Garantizar el Cumplimiento con Requerimientos Externos
Requiere del establecimiento de un proceso de revisin para garantizar el cumplimiento de las leyes,
regulaciones y requerimientos contractuales .
Control sobre el proceso TI
Satisfacer el requerimiento del negocio de TI para cumplir las leyes y regulaciones enfocndose en la
identificacin de todas las leyes y regulaciones aplicables y el nievel correspondiente de cumplimiento de TI
y la optimizacin de los procesos de TI para reducir el riesgo de no cumplimiento.
Se logra con
La identificacin de los requisitos legalesy regulatorios relacionados con TI
La evaluacin del impacto de los requisitos regulatoris
Monitoreo y reporte del cumplimiento de los requisitos regulatorios
Se mide con
El costo del no cumplimiento de TI, incluyendo arreglos y multas
Tiempo promedio de demora entre la identificacin de los problemas externos de cumplimiento y su
resolucin
Frecuencia de revisin de cumplimiento
Objetivos de control
ME3.1 identificar los requerimientos de las leyes ,regulaciones y cumplimiento contractuales
ME3.2optimizar respuesta a requerimientos externos
ME3.3 evaluacin del cumplimiento con requerimientos externos
ME3.4 aseguramiento positivo del cumplimiento
ME3.5 reportes integrados


Directrices gerenciales





Modelo de madurez
Administracin del proceso de garantizar el cumplimiento con requerimientos externos
0 no existente
Poca conciencia respecto a requerimientos externos que afectan la TI
1 inicial /ad hoc
Cuando se sigue procesos para mantener el cumplimiento de los requisitos regulatorio,
contractual y legal solo si surgen nuevos proyectos.
2 repetible pero intuitivo
Cuando existe una necesidad de cumplir con los requisitos externos. Debe haber confianza en el
conocimiento y responsabilidad.
3 defiinido
Ya se ha desarrollado y documentado y comunicado polticas, se realiza monitoreo de estos por si
existe una desactualizacin de reglamentos o quizs algunas no se sigan para evitar riesgos con las
obligaciones contractuales
4 administrado y medible
Existe entendimiento completo de los requerimientos, existe el esquema. Entonces se hace una
revisin de entorno para identificar cambios, se analizan en busca de las causas para un solucin
como buena prctica.
5 optimizado
Existe un proceso bien organizado que cumple con los requerimientos, existe un amplio
conocimiento de estos requrerimientos , tambin se participa de discusiones con grupo
regultaorios. Se desarrolla mejores practicas de evaluacin y el estilo y cultura administrativa es
fuerte entonces los procesos elaborados estn bien preparados para cambios significativos.
Descripcin del proceso
ME4 Proporcionar Gobierno de TI
Incluye estructuras, procesos, liderazgo, roles y responsabilidades para garantizar las inversiones
empresariales en TI.
Para satisfacer el negocio de TI se integra el gobierno de TI cumpliendo las leyes, enfocndose en
la elaboracin de informes para el consejo directivo sobre la estrategia, el desempeo y riesgos de
Salidas Hacia
Mejoras al marco de trabajo de los procesos PO4

Reportar el estatus del gobierno de TI PO1 ME1

Resultados de negocio esperados de las
inversiones en TI
PO5

Direccin estratgica empresarial para TI PO1

Apetito empresarial de riesgos de TI PO9


TI, esto se logra con el marco de trabajo para el gobierno de TI y la obtencin de aseguramiento
del estatus de gobierno de TI, se mide con la frecuencia de informes, reportes de las TI.
Objetivos de control
ME4.1 Establecimiento de un Marco de Gobierno de TI
Define, establece y alinea el marco del gobierno de TI con el entorno y Gobierno Corporativo.
Basar el marco de trabajo en un adecuado proceso de TI y brindar la rendicin de cuentas y de las
prcticas inequvocas para evitar una rotura en el control interno y la revisin.
ME4.2 Alineamiento Estratgico
Facilitar el entendimiento alineacin de TI con el negocio trabajando junto con la directiva y
garantizando que existe un entendimiento compartido entre el negocio y la funcin de TI sobre la
contribucin de TI en la estrategia del negocio
ME4.3 Entrega de Valor
Administrar los servicios de TI asegurando que el producto ser muy til para la empresa,
asegurndose que los resultados son los que la empresa esperaba.
ME4.4 Administracin de Recursos
Revisar inversin, uso y asignacin de los activos de TI por medio de evaluaciones peridicas.
ME4.5 Administracin de Riesgos
Definir el riesgo de TI aceptable para que se pueda asegurar que el riesgo actual no excede al
riesgo aceptable de la empresa
ME4.6 Medicin del Desempeo
Confirmar que los objetivos de TI han cumplido las expectativas de la empresa.
ME4.7 Aseguramiento Independiente
Garantizar de forma independiente la conformidad de TI



DIRECTRICES GERENCIALES

ME4 Proporcionar Gobierno de TI

Desde Entradas
PO4 Marco de trabajo del proceso de TI
PO5 Reportes de costo/beneficio
PO9 Evaluacin y reportes de riesgo
ME2 Reportar la efectividad de los controles de TI
ME3 Catlogo de requisitos legales y regulatorios
relacionados con la prestacin de servicios de TI


Modelo de Madurez
0 No Existente cuando
Existe una carencia de proceso reconocible de gobierno de TI.
1 Inicial / Ad Hoc cuando
Se reconoce que el tema del gobierno de TI existe y que debe ser resuelto. Existen enfoques ad
hoc aplicados individualmente o caso por caso.
2 Repetible pero Intuitivo cuando
Existe una conciencia sobre los temas de gobierno de TI. Las actividades y los indicadores de
desempeo del gobierno de TI, los cuales incluyen procesos planeacin, entrega y supervisin de
TI, estn en desarrollo.
3 Definido cuando
La importancia y la necesidad de un gobierno de TI se reconocen por parte de la gerencia y se
comunican a la organizacin. Los procedimientos se han estandarizado y documentado.
4 Administrado y Medible cuando
Hay un entendimiento claro de quin es el cliente y se definen y supervisan las responsabilidades.
La mejora de los procesos de TI se basa principalmente en un entendimiento cuantitativo y es
posible monitorear y medir el cumplimiento con procedimientos y mtricas de procesos.
5 Optimizado cuando los procesos se han refinado hasta un nivel de mejor prctica de la industria,
TI se utiliza de forma amplia, integrada y optimizada para automatizar el flujo de trabajo y brindar
herramientas para mejorar la calidad y efectividad