El documento habla sobre monitorear y evaluar el desempeño de TI. Explica que se debe monitorear todos los procesos de TI de forma periódica para evaluar su calidad y cumplimiento. También cubre el monitoreo del desempeño, control interno, cumplimiento regulatorio y aplicación del gobierno. Luego describe los diferentes niveles de madurez para el monitoreo y evaluación de procesos y control interno de TI en una organización.
El documento habla sobre monitorear y evaluar el desempeño de TI. Explica que se debe monitorear todos los procesos de TI de forma periódica para evaluar su calidad y cumplimiento. También cubre el monitoreo del desempeño, control interno, cumplimiento regulatorio y aplicación del gobierno. Luego describe los diferentes niveles de madurez para el monitoreo y evaluación de procesos y control interno de TI en una organización.
El documento habla sobre monitorear y evaluar el desempeño de TI. Explica que se debe monitorear todos los procesos de TI de forma periódica para evaluar su calidad y cumplimiento. También cubre el monitoreo del desempeño, control interno, cumplimiento regulatorio y aplicación del gobierno. Luego describe los diferentes niveles de madurez para el monitoreo y evaluación de procesos y control interno de TI en una organización.
Monitorear exactamente todos los procesos de las TI,deben evaluarse de forma peridica en cuanto asu calidad y cumplimiento de los requerimientos de control,este dominio cubre la administracin del desempeo,el monitoreo del control interno,el cumplimiento regulatorio y aplicacin del gobierno.
ME1.1 Enfoque del Monitoreo Tenemos que tener todas las metodologas y procesos y tener el alcance para definir una solucin y asi acoplar las TI al negocio. ME1.2 Definicin y Recoleccin de Datos de Monitoreo Al ya tener todas las metodologas y procesos podremos recolectar datos y definir referencias para comparar los objetivos y asi reportar el avance. ME1.3 Mtodo de Monitoreo Garantiza el proceso de monitoreo de todos los ngulos del desempeo de TI y que se adapte al sistema de monitoreo de la empresa. ME1.4 Evaluacin del Desempeo Hacer un anlisis peridicamente. ME1.5 Reportes al Consejo Directivo y a Ejecutivos Nos dan los reportes para que sean revisados por el consejo directivo como el ejecutivo. ME1.6 Acciones Correctivas Al ya aver realizado el monitoreo podemos identificar algunas acciones correctivas de los reportes y de las evaluaciones. MODELO DE MADUREZ Satisfacer los requerimientos de negocio para TI de transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio de TI, de acuerdo con los requisitos de gobierno es: 0- No Existente cuando organizacin no lleva acabo proceso de monitoreo ,TI no monitorea proyectos o precesos de forma independiente, adems no se cuenta con reportes tiles,oportunos. 1- Inicial / Ad Hoc la gerencia reconoce la necesidad de recolectar y evaluar inf sobre los procesos de monitoreo,El monitoreo se implanta y las mtricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI especficos 2-Reptible pero Intuitivo Los mtodos y las tcnicas de recoleccin y evaluacin existen, pero los procesos no se han adoptado en toda la organizacion Herramientas limitadas son seleccionadas y se implantan para recolectar informacin, pero esta recoleccin no se basa en un enfoque planeado. 3-Definido La gerencia trabaja con procesos estndar de monitoreo. Se han implantado programas educacionales y de entrenamiento para el monitoreo. Se han definido herramientas para monitorear los procesos y los niveles de servicio de TI. Las mediciones del desempeo especificas de TI, las medicones no financieras , las de satisfaccin al cliente y los niveles de servicio estn definidos. 4 -Administrado y Medible La gerencia ha definido las tolerancias bajo las cuales los prcesos deben operar.L os reportes de los resultados del monitoreo estn en proceso de estandarizarse y normalizarse. Hay una integracin de mtricas a lo largo de todos los proyectos y procesos de TI. Las herramientas automatizadas estn integradas y se aprovechan en toda la organizacin para recolectar y monitorear la informacin operativa de las aplicaciones, sistemas y procesos 5 -Optimizado Todos los procesos de monitoreo estn optimizados y dan soporte a los objetivos de toda la organizacin. Las mtricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeoEl monitoreo de los procesos y el rediseo continuo son consistentes con los planes de mejora de los procesos de negocio en toda la organizacin ME2 Monitorear y Evaluar el Control Interno Este proceso incluye el monitoreo y reporte de excepciones de control, resultados de auto-evaluaciones y revisin por parte de terceros. Proporciona seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables Se enfoca en: El moni toreo de los procesos de control interno para las actividades relacionadas con TI e identificar las acciones de mejoramiento, esto se logra con la definicin de un sistema de controles internos integrados en el marco de trabajo de los procesos de TI , Monitorear y reportar la efectividad de los controles internos sobre TI y se mide con Nmero de iniciativas para la mejora del control , Nmero y cubrimiento de auto evaluaciones de control OBJETIVOS DE CONTROL
- ME2.1 Monitoreo del Marco de Trabajo de Control Interno: Monitorear de forma continua, comparar y mejorar el ambiente de control de TI - ME2.2 Revisiones de Auditora: Monitorear y evaluar la eficiencia de los controles internos gerencia de TI. - ME2.3 Excepciones de Control: Identificar las excepciones de control - ME2.4 Control de Auto Evaluacin: Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, polticas y contratos de TI - ME2.5 Aseguramiento del Control Interno: - ME2.6 Control Interno para Terceros - ME2.7 Acciones Correctivas: Identificar, iniciar, rastrear e implementar acciones correctivas
DIRECTRICES GERENCIALES
Desde Entradas AI7 Monitoreo de Controles Internos ME1 Reporte de desempeo de procesos Salidas Hacia Reporte sobre la efectividad de los controles de TI PO4 PO6 ME1 ME4
MODELO DE MADUREZ
Las leyes y regulaciones relacionadas con la TI es:
0 No Existente cuando La organizacin carece de procedimientos. Los mtodos de reporte de control interno gerenciales no existen. La gerencia y los empleados no tienen conciencia general sobre el control interno.
1 Inicial / Ad Hoc cuando La gerencia reconoce la necesidad de administrar y asegurar el control de TI de forma regular. La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los controles internos.
2 Repetible pero Intuitivo cuando La organizacin utiliza reportes de control informales para comenzar iniciativas de accin correctiva. La organizacin tiene una mayor conciencia sobre el monitoreo de los controles internos. La gerencia de servicios de informacin realiza monitoreo peridico sobre la efectividad de lo que considera controles internos crticos.
3 Definido cuando Se ha definido un programa de educacin y entrenamiento para el monitoreo del control interno. Se ha definido tambin un proceso para auto-evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administracin del negocio y de TI. .
4 Administrado y Medible cuando La gerencia tiene implantado un marco de trabajo para el monitoreo del control interno de TI. La organizacin ha establecido niveles de tolerancia para el proceso de monitoreo del control interno. Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automtica las excepciones de control.
5 Optimizado cuando Se ha establecido una funcin formal para el control interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta direccin. Se ha establecido una base de datos de mtricas para informacin histrica sobre el monitoreo del control interno. Se realizan revisiones entre pares para verificar el monitoreo del control interno.
DESCRIPCIN DEL PROCESO
ME3 Garantizar el Cumplimiento con Requerimientos Externos Requiere del establecimiento de un proceso de revisin para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales . Control sobre el proceso TI Satisfacer el requerimiento del negocio de TI para cumplir las leyes y regulaciones enfocndose en la identificacin de todas las leyes y regulaciones aplicables y el nievel correspondiente de cumplimiento de TI y la optimizacin de los procesos de TI para reducir el riesgo de no cumplimiento. Se logra con La identificacin de los requisitos legalesy regulatorios relacionados con TI La evaluacin del impacto de los requisitos regulatoris Monitoreo y reporte del cumplimiento de los requisitos regulatorios Se mide con El costo del no cumplimiento de TI, incluyendo arreglos y multas Tiempo promedio de demora entre la identificacin de los problemas externos de cumplimiento y su resolucin Frecuencia de revisin de cumplimiento Objetivos de control ME3.1 identificar los requerimientos de las leyes ,regulaciones y cumplimiento contractuales ME3.2optimizar respuesta a requerimientos externos ME3.3 evaluacin del cumplimiento con requerimientos externos ME3.4 aseguramiento positivo del cumplimiento ME3.5 reportes integrados
Directrices gerenciales
Modelo de madurez Administracin del proceso de garantizar el cumplimiento con requerimientos externos 0 no existente Poca conciencia respecto a requerimientos externos que afectan la TI 1 inicial /ad hoc Cuando se sigue procesos para mantener el cumplimiento de los requisitos regulatorio, contractual y legal solo si surgen nuevos proyectos. 2 repetible pero intuitivo Cuando existe una necesidad de cumplir con los requisitos externos. Debe haber confianza en el conocimiento y responsabilidad. 3 defiinido Ya se ha desarrollado y documentado y comunicado polticas, se realiza monitoreo de estos por si existe una desactualizacin de reglamentos o quizs algunas no se sigan para evitar riesgos con las obligaciones contractuales 4 administrado y medible Existe entendimiento completo de los requerimientos, existe el esquema. Entonces se hace una revisin de entorno para identificar cambios, se analizan en busca de las causas para un solucin como buena prctica. 5 optimizado Existe un proceso bien organizado que cumple con los requerimientos, existe un amplio conocimiento de estos requrerimientos , tambin se participa de discusiones con grupo regultaorios. Se desarrolla mejores practicas de evaluacin y el estilo y cultura administrativa es fuerte entonces los procesos elaborados estn bien preparados para cambios significativos. Descripcin del proceso ME4 Proporcionar Gobierno de TI Incluye estructuras, procesos, liderazgo, roles y responsabilidades para garantizar las inversiones empresariales en TI. Para satisfacer el negocio de TI se integra el gobierno de TI cumpliendo las leyes, enfocndose en la elaboracin de informes para el consejo directivo sobre la estrategia, el desempeo y riesgos de Salidas Hacia Mejoras al marco de trabajo de los procesos PO4
Reportar el estatus del gobierno de TI PO1 ME1
Resultados de negocio esperados de las inversiones en TI PO5
Direccin estratgica empresarial para TI PO1
Apetito empresarial de riesgos de TI PO9
TI, esto se logra con el marco de trabajo para el gobierno de TI y la obtencin de aseguramiento del estatus de gobierno de TI, se mide con la frecuencia de informes, reportes de las TI. Objetivos de control ME4.1 Establecimiento de un Marco de Gobierno de TI Define, establece y alinea el marco del gobierno de TI con el entorno y Gobierno Corporativo. Basar el marco de trabajo en un adecuado proceso de TI y brindar la rendicin de cuentas y de las prcticas inequvocas para evitar una rotura en el control interno y la revisin. ME4.2 Alineamiento Estratgico Facilitar el entendimiento alineacin de TI con el negocio trabajando junto con la directiva y garantizando que existe un entendimiento compartido entre el negocio y la funcin de TI sobre la contribucin de TI en la estrategia del negocio ME4.3 Entrega de Valor Administrar los servicios de TI asegurando que el producto ser muy til para la empresa, asegurndose que los resultados son los que la empresa esperaba. ME4.4 Administracin de Recursos Revisar inversin, uso y asignacin de los activos de TI por medio de evaluaciones peridicas. ME4.5 Administracin de Riesgos Definir el riesgo de TI aceptable para que se pueda asegurar que el riesgo actual no excede al riesgo aceptable de la empresa ME4.6 Medicin del Desempeo Confirmar que los objetivos de TI han cumplido las expectativas de la empresa. ME4.7 Aseguramiento Independiente Garantizar de forma independiente la conformidad de TI
DIRECTRICES GERENCIALES
ME4 Proporcionar Gobierno de TI
Desde Entradas PO4 Marco de trabajo del proceso de TI PO5 Reportes de costo/beneficio PO9 Evaluacin y reportes de riesgo ME2 Reportar la efectividad de los controles de TI ME3 Catlogo de requisitos legales y regulatorios relacionados con la prestacin de servicios de TI
Modelo de Madurez 0 No Existente cuando Existe una carencia de proceso reconocible de gobierno de TI. 1 Inicial / Ad Hoc cuando Se reconoce que el tema del gobierno de TI existe y que debe ser resuelto. Existen enfoques ad hoc aplicados individualmente o caso por caso. 2 Repetible pero Intuitivo cuando Existe una conciencia sobre los temas de gobierno de TI. Las actividades y los indicadores de desempeo del gobierno de TI, los cuales incluyen procesos planeacin, entrega y supervisin de TI, estn en desarrollo. 3 Definido cuando La importancia y la necesidad de un gobierno de TI se reconocen por parte de la gerencia y se comunican a la organizacin. Los procedimientos se han estandarizado y documentado. 4 Administrado y Medible cuando Hay un entendimiento claro de quin es el cliente y se definen y supervisan las responsabilidades. La mejora de los procesos de TI se basa principalmente en un entendimiento cuantitativo y es posible monitorear y medir el cumplimiento con procedimientos y mtricas de procesos. 5 Optimizado cuando los procesos se han refinado hasta un nivel de mejor prctica de la industria, TI se utiliza de forma amplia, integrada y optimizada para automatizar el flujo de trabajo y brindar herramientas para mejorar la calidad y efectividad