Monitorear y evaluar el desempeño TI

Anuncio
1
COBIT 4.1
Cobit 4.1
(Resumen DS13, ME1, ME2, ME3)
Cayoja Bustillos Alex
Escobar Endara Ariel
Fernández Valdez Gabriel Gustavo
Gonzales Rubín de Celis Pablo Juan
Sainz Miranda Laura Isabel
Materia: Auditoría de Sistemas
Ingeniería de Sistemas
Universidad Católica Boliviana
2
ENTREGAR Y DAR SOPORTE
ADMINISTRACIÓN DE OPERACIONES DS13
Descripción del proceso
Un procesamiento de información completo y apropiado requiere de una efectiva administración
del procesamiento de datos y del mantenimiento del hardware. Este proceso incluye la definición
de políticas y procedimientos de operación para una administración efectiva del procesamiento
programado, protección de datos de salida sensitivos, monitoreo de infraestructura y
mantenimiento preventivo de hardware. Una efectiva administración de operaciones ayuda a
mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de
TI.
Control sobre el proceso TI de:
Administrar operaciones
Que satisface el requerimiento del negocio de TI para:
Mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y
recuperarse de errores y fallas
Enfocándose en
Cumplir con los niveles operativos de servicio para procesamiento de datos programado,
protección de datos de salida sensitivos y monitoreo y mantenimiento de la infraestructura
Se logra con
Operando el ambiente de TI en línea con los niveles de servicio acordados y con las instrucciones
definidas
Manteniendo la infraestructura de TI
Y se mide con
Número de niveles de servicio afectados a causa de incidentes en la operación.
Horas no planeadas de tiempo sin servicio a causa de incidentes en la operación.
Porcentaje de activos de hardware incluidos en los programas de mantenimiento.
3
Objetivos de control
- Procedimientos e Instrucciones de Operación
- Programación de Tareas
- Monitoreo de la Infraestructura de TI
- Documentos Sensitivos y Dispositivos de Salida
- Mantenimiento Preventivo del Hardware
Directrices Gerenciales
Modelo De Madurez
La administración del proceso de Administrar las operaciones que satisface el requerimiento del
negocio de TI de mantener la integridad de la información y garantizar que la infraestructura de
TI pueda resistir y recuperarse de errores y fallos es:
◦
◦
◦
◦
◦
◦
0 No Existente
1 Inicial / Ad Hoc
2 Repetible pero Intuitivo
3 Definido
4 Administrado y medible
5 Optimizado
4
MONITOREAR Y EVALUAR
MONITOREAR Y EVALUAR DESEMPEÑO DE TI ME1
Descripción del proceso
Define indicadores de desempeño relevantes, reportes sistemáticos y oportunos de desempeño y
toma medidas expeditas cuando existan desviaciones. Este monitoreo se requiere para que se
hagan las correctas y además vayan de acuerdo con la políticas de la empresa.
Control sobre el proceso TI de:
Monitorear y evaluar el desempeño TI
Que satisface el requerimiento del negocio de TI para:
Transparencia y entendimiento de los datos de la empresa de acuerdo con los requisitos de
gobierno.
Enfocándose en
Monitorear y reportar las estadísticas, además de implementar formas de mejorar el desempeño.
Se logra con
Reporte gerenciales e iniciando medidas correctivas cuando se detecta algo que no está de
acuerdo con las metas.
Y se mide con
La satisfacción de la gerencia, el mejoramiento impulsado por el monitoreo y el numero de
procesos críticos analizados.
Objetivos de control
- Enfoque del Monitoreo
Establece un marco de trabajo de monitoreo general y un enfoque que definan el alcance del
mismo.
-Definición y Recolección de Datos de Monitoreo
Definir un conjunto balanceado de objetivos de desempeño y tenerlos aprobados por la gerencia y
otros.
-Método de Monitoreo
Garantizar que el proceso de monitoreo implante un método que se adapte al sistema que tiene la
empresa.
5
-Evaluación del Desempeño
Verificar periódicamente el desempeño, y realizar análisis de la causa raíz de los problemas que
puedan existir.
.
-Reportes al Consejo Directivo y a Ejecutivos
Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de
la organización hacia metas.
-Acciones Correctivas
Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y
reportes.
Directrices Gerenciales
Modelo De Madurez
La administración del proceso de Monitorear y evaluar el desempeño de TI que satisfaga los
requerimientos de negociospara TI de transparencia y entendimiento de los datos que lleva la
empresa son:
◦
◦
◦
◦
◦
◦
0 No Existente
1 Inicial / Ad Hoc
2 Repetible pero Intuitivo
3 Definido
4 Administrado y medible
5 Optimizado
6
MONITOREAR Y EVALUAR
MONITOREAR Y EVALUAR EL CONTROL INTERNO ME2
Descripción del proceso
Establecer un programa de control interno para TI requiere un proceso bien definido de
monitoreo. Todo este proceso incluye el monitoreo y reporte de las excepciones de control,
resultados de las auto evaluaciones y revisiones por parte de terceros.
Satisface el requerimiento del negocio de TI para proteger el logro del los objetivos de TI y
cumplir las leyes y reglamentos relacionados con TI enfocándose en el monitoreo de los procesos
de control interno.
Para las actividades relacionadas con TI e identificar las acciones se logra con:
La definición de un sistema de controles internos integrados en el marco de trabajo de los
procesos de TI.
Monitorear y reportar la efectividad de los controles internos sobre TI.
Reportar las excepciones de control a la gerencia para tomar acciones.
Todo esto se mide con el número de brechas importantes del control interno, número de
iniciativas para la mejora del control y número y cubrimiento de auto evaluaciones de control.
Objetivos de Control
- Monitoreo del Marco de Trabajo de Control Interno
Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de
trabajo de control de TI para satisfacer los objetivos organizacionales.
-Revisiones de Auditoria
Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la
gerencia de TI.
Excepciones de Control
Identificar las excepciones de control, y analizar e identificar sus causas raíz subyacentes. Escalar
las excepciones de control y reportar a los interesados apropiadamente. Establecer acciones
correctivas necesarias.
7
Control de Auto Evaluación
Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, políticas y
contratos de TI por medio de un programa continuo de auto-evaluación.
Aseguramiento del Control Interno
Obtener, según sea necesario, aseguramiento de la completitud y efectividad de los controles
internos por medio de revisiones de terceros.
Control Interno para Terceros
Evaluar el estado de los controles internos de los proveedores de servicios externos. Conformar
que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios
y obligaciones contractuales.
Acciones Correctivas
Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de
evaluación y los informes.
Directrices Gerenciales
Modelo de Madurez
◦
◦
◦
◦
◦
◦
0 No Existente
1 Inicial / Ad Hoc
2 Repetible pero Intuitivo
3 Definido
4 Administrado y medible
5 Optimizado
8
MONITOREAR Y EVALUAR
GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS ME3
Descripción del proceso
Una supervisión efectiva del cumplimiento requiere del establecimiento de un proceso de
revisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos
contractuales. Este proceso incluye la identificación de requerimientos de cumplimientos,
optimizando y evaluando la respuesta, obteniendo aseguramiento de que los requerimientos se
han cumplido y, finalmente integrando los reportes de cumplimiento de TI con el resto del
negocio.
Enfocándose en
La identificación de todas las leyes y regulaciones aplicables y el nivel correspondiente de
cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no
cumplimiento
Se logra con
La identificación de los requerimientos legales y regulatorios relacionados con TI
La evaluación del impacto de los requisitos regulatorios
El monitoreo y reporte del cumplimiento de los requisitos regulatorios
Y se mide con
El costo del no cumplimiento de TI, incluyendo arreglos y multas
Tiempo promedio de demora entre la identificación de los problemas externos de cumplimiento y
su resolución
Frecuencia de revisiones de cumplimiento
GOBIERNO DE TI
Primario
- Alineación Estratégica
- Administración de riesgos
Secundario
-
Medición del desempeño
Entrega de Valor
Administración de Recursos
9
Objetivos de control
-Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales
-Optimizar la Respuesta a Requerimientos Externos
-Evaluación del Cumplimiento con Requerimientos Externos
-Aseguramiento Positivo del Cumplimiento
-Reportes Integrados
Directrices Gerenciales
Modelo de madurez
La administración del proceso de Garantizar el cumplimiento con requerimientos externos que
satisfaga el requerimiento de negocio de TI de asegurar el cumplimiento de las leyes,
regulaciones y requerimientos contractuales es:
◦
◦
◦
◦
◦
◦
0 No Existente
1 Inicial / Ad Hoc
2 Repetible pero Intuitivo
3 Definido
4 Administrado y medible
5 Optimizado
Descargar