PO6 Planear y Organizar

Anuncio
COBIT 4.1
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
By Juan Antonio Vásquez
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
La dirección elabora un marco de trabajo de control
empresarial para TI, asimismo definen y comunican las
políticas.
Se implementa un programa de comunicación continua para
articular la misión, los objetivos de servicio, las políticas y
procedimientos, etc.
Se garantiza el cumplimiento de las leyes y reglamentos
relevantes.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
Criterios de Información que se cumplen para satisfacer los
requerimientos de calidad, fiduciarios o seguridad del negocio
son Efectividad, primario, y Cumplimiento, secundario.
Las áreas primarias del enfoque de Gobierno de TI que se
cubren son la Alineación Estratégica y la Administración de
Riesgos.
Asimismo, los Recursos Esenciales de TI que se requieren son
Aplicaciones e Infraestructura.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
El proceso satisface el requerimiento del negocio de TI para
definir y difundir una información precisa y oportuna sobre
los servicios de TI actuales y futuros, los riesgos asociados y las
responsabilidades.
Para lo cual se enfoca en proporcionar políticas,
procedimientos, directrices y otra documentación aprobada,
precisa y entendible, dentro del marco de trabajo de control de
TI.
Se logra definiendo un marco de trabajo de control para TI; así
como elaborando, implantando y reforzando políticas para TI.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
PO6.1 Ambiente de Políticas y de Control.
Se definen los elementos del ambiente de control para TI; que
incluyen las expectativas y requerimientos de la entrega de
valor de las inversiones en TI, el apetito de riesgo, la integridad,
los valores éticos, la competencia del personal, la rendición de
cuentas y la responsabilidad.
PO6.2 Riesgo Corporativo y Marco de Referencia de Control
Interno de TI.
Se elabora y da mantenimiento al marco de trabajo que
establece el enfoque empresarial general hacia los riesgos y el
control que esté alineado con la política de TI, el ambiente de
control y el marco de trabajo de riesgo y control de la empresa.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
PO6.3 Administración de Políticas para TI.
Se elabora y da mantenimiento a políticas que apoyan la
estrategia de TI. Las políticas incluyen su intención, roles y
responsabilidades, procesos de excepción, enfoque de
cumplimiento y referencias a procedimientos, estándares y
directrices. Su relevancia se confirma y aprueba regularmente.
PO6.4 Implantación de Políticas de TI.
Se asegura de que las políticas de TI se implantan y se
comunican a todo el personal relevante, y se refuerzan.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
PO6.5 Comunicación de los Objetivos y la Dirección de TI.
Asegurarse de que la conciencia y el entendimiento de los
objetivos y la dirección del negocio y de TI se comunican a los
interesados apropiados y a los usuarios de toda la organización.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
Matriz RACI
Se debe Consultar a Auditoría para elaborar, mantener y
comunicar las Actividades:
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
Modelo de Madurez
Nivel 0 ó No Existente cuando la gerencia no ha establecido un
ambiente positivo de control de información.
No se reconoce la necesidad de establecer políticas,
procedimientos, estándares y procesos de cumplimiento.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
Nivel 1 o Inicial o Ad Hoc cuando la gerencia es reactiva para
resolver los requerimientos del ambiente de control de
información.
Las políticas, procedimientos y estándares se elaboran y
comunican de forma ad hoc de acuerdo a los temas.
Los procesos de elaboración, comunicación y cumplimiento son
informales e inconsistentes.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
Nivel 2 o Repetible pero Intuitivo cuando la gerencia tiene un
entendimiento implícito de las necesidades y de los
requerimientos de un ambiente de control de información
efectivo, aunque las prácticas son en su mayoría informales.
La gerencia ha comunicado la necesidad de políticas,
procedimientos y estándares de control, pero la elaboración se
delega a la discreción de gerentes y áreas de negocio
individuales.
La calidad se reconoce como una filosofía deseable a seguir, pero
las prácticas se dejan a discreción de gerentes individuales.
El entrenamiento se realiza de forma individual, según se
requiera.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
Nivel 3 o Definido cuando la gerencia ha elaborado, documentado
y comunicado un ambiente completo de administración de calidad
y control de la información, que incluye un marco para el
desarrollo de políticas, procedimientos y estándares.
El proceso de elaboración de políticas es estructurado, mantenido
y conocido, y las políticas, procedimientos y estándares existentes
son razonablemente sólidos y cubren temas clave.
La gerencia ha reconocido la importancia de la conciencia de la
seguridad de TI y ha iniciado programas de concienciación,
aunque no se aplica de forma rigurosa.
El monitoreo del cumplimiento de estas políticas y estándares es
inconsistente.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
Nivel 4 o Administrado y Medible cuando la gerencia asume
la responsabilidad de comunicar las políticas de control
interno y delega la responsabilidad y asigna suficientes recursos
para mantener el ambiente en línea con los cambios
significativos.
Se ha establecido un ambiente de control de información
positivo y proactivo.
Se han establecido políticas, procedimientos y estándares, que
se mantienen y comunican, y forman un componente de buenas
prácticas internas.
Se ha establecido un marco de trabajo para la implantación y
las verificaciones subsiguientes de cumplimiento.
PO6 Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
Nivel 5 u Optimizado cuando el ambiente de control de la
información está alineado con el marco administrativo estratégico
y con la visión; con frecuencia se revisa, actualiza y mejora.
Se asignan expertos internos y externos para garantizar que se
adoptan las mejores prácticas de la industria, con respecto a las
guías de control y a las técnicas de comunicación.
El monitoreo, la auto-evaluación y las verificaciones de
cumplimiento están extendidas en la organización.
La tecnología se usa para mantener bases de conocimiento de
políticas y de concienciación y para optimizar la comunicación,
usando herramientas de automatización de oficina y de
entrenamiento basado en computadora.
Resolución JM-102-2011
Reglamento para la Administración del Riesgo Tecnológico
Artículo 3. Políticas y procedimientos. Las instituciones deberán establecer e
implementar políticas y procedimientos que les permitan realizar permanentemente
una adecuada administración del riesgo tecnológico, de la institución, considerando
la naturaleza, complejidad y volumen de sus operaciones.
Dichas políticas y procedimientos deberán comprender, como mínimo, las
metodologías, herramientas o modelos de medición del riesgo tecnológico, así como
los aspectos que se detallan en los capítulos del III al VI de este reglamento y
agruparse en los temas siguientes:
a) Infraestructura de TI, sistemas de información, bases de datos y servicios de TI;
b) Seguridad de tecnología de la información;
c) Continuidad de operaciones de tecnología de la información; y,
d) Procesamiento de información y tercerización.
En adición a los aspectos indicados, las instituciones deberán establecer políticas
para elaborar, implementar y actualizar el plan estratégico de TI a que se refiere el
artículo 7 de este reglamento.
Descargar