Dominios Cobit Grupo 9 Resumen

AUDITORIA V

GRUPO 9

RESUMEN MARCO DE TRABAJO COBIT 4.1

RESUMEN MARCO DE TRABAJO COBIT 4.1 Planear y Organizar

PO1 Definir un Plan Estratgico de TI

La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los recursos de TI en lnea con la estrategia y prioridades del negocio. La funcin de TI y los interesados del negocio son responsables de asegurar que el valor ptimo se consigue desde los proyectos y el portafolio de servicios. El plan estratgico mejora la comprensin de los interesados clave de las oportunidades y limitaciones de TI, evala el desempeo actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel de investigacin requerido.

OBJETIVOS PO1.1 Administracin del Valor de TI PO1.2 Alineacin de TI con el Negocio PO1.3 Evaluacin del Desempeo y la Capacidad Actual PO1.4 Plan Estratgico de TI PO1.5 Planes Tcticos de TI PO1.6 Administracin del Portafolio de TI

PO2 Definir la Arquitectura de la Informacin

La funcin de sistemas de informacin debe crear y actualizar de forma regular un modelo de informacin del negocio y definir los sistemas apropiados para optimizar el uso de esta informacin. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la organizacin, el esquema de clasificacin de datos y los niveles de seguridad.

PO2.1 Modelo de Arquitectura de Informacin Empresarial 1|Page

AUDITORIA V

GRUPO 9


PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 Esquema de Clasificacin de Datos PO2.4 Administracin de Integridad

PO3 Determinar la Direccin Tecnolgica

La funcin de servicios de informacin debe determinar la direccin tecnolgica para dar soporte al negocio. Esto requiere de la creacin de un plan de infraestructura tecnolgica y de un comit de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnologa puede ofrecer en trminos de productos, servicios y mecanismos de aplicacin. El plan se debe actualizar de forma regular y abarca aspectos tales como arquitectura de sistemas, direccin tecnolgica, planes de adquisicin, estndares, estrategias de migracin y contingencias.

OBJETIVOS PO3.1 Planeacin de la Direccin Tecnolgica PO3.2 Plan de Infraestructura Tecnolgica PO3.3 Monitoreo de Tendencias y Regulaciones Futuras PO3.4 Estndares Tecnolgicos PO3.5 Consejo de Arquitectura de TI

PO4 Definir los Procesos, Organizacin y Relaciones de TI

Una organizacin de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendicin de cuentas, autoridad, roles, responsabilidades y supervisin. La organizacin est embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control, as como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comit estratgico debe garantizar la vigilancia del consejo directivo sobre TI, y uno ms comits de direccin, en los cuales participen tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio.

2|Page

AUDITORIA V

GRUPO 9


OBJETIVOS PO4.1 Marco de Trabajo de Procesos de TI PO4.2 Comit Estratgico de TI PO4.3 Comit Directivo de TI PO4.4 Ubicacin Organizacional de la Funcin de TI PO4.5 Estructura Organizacional PO4.6 Establecimiento de Roles y Responsabilidades PO4.7 Responsabilidad de Aseguramiento de Calidad de TI PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento PO4.9 Propiedad de Datos y de Sistemas PO4.10 Supervisin PO4.11 Segregacin de Funciones PO4.12 Personal de TI PO4.13 Personal Clave de TI PO4.14 Polticas y Procedimientos para Personal Contratado PO4.15 Relaciones

PO5 Administrar la Inversin en TI

Establecer y mantener un marco de trabajo para administrar los programas de inversin en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administracin contra ese presupuesto. Los interesados (stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratgicos y tcticos de TI, y tomar medidas correctivas segn sean necesarias.

OBJETIVOS DE CONTROL PO5.1 Marco de Trabajo para la Administracin Financiera PO5.2 Prioridades Dentro del Presupuesto de TI PO5.3 Proceso Presupuestal 3|Page

AUDITORIA V

GRUPO 9


PO5.4 Administracin de Costos de TI PO5.5 Administracin de Beneficios

PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia

La direccin debe elaborar un marco de trabajo de control empresarial para TI, y definir y comunicar las polticas. Un programa de comunicacin continua se debe implementar para articular la misin, los objetivos de servicio, las polticas y procedimientos, etc., aprobados y apoyados por la direccin. La comunicacin apoya el logro de los objetivos de TI y asegura la concienciacin y el entendimiento de los riesgos de negocio y de TI.

OBJETIVOS DE CONTROL PO6.1 Ambiente de Polticas y de Control PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO6.3 Administracin de Polticas para TI PO6.4 Implantacin de Polticas de TI PO6.5 Comunicacin de los Objetivos y la Direccin de TI

PO7 Administrar Recursos Humanos de TI

Adquirir, mantener y motivar una fuerza de trabajo para la creacin y entrega de servicios de TI para el negocio. Esto se logra siguiendo prcticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluacin del desempeo, la promocin y la terminacin. Este proceso es crtico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivacin y competencia del personal.

OBJETIVOS DE CONTROL PO7.1 Reclutamiento y Retencin del Personal PO7.2 Competencias del Personal PO7.3 Asignacin de Roles PO7.4 Entrenamiento del Personal de TI 4|Page

AUDITORIA V

GRUPO 9


PO7.5 Dependencia Sobre los Individuos PO7.6 Procedimientos de Investigacin del Personal PO7.7 Evaluacin del Desempeo del Empleado PO7.8 Cambios y Terminacin de Trabajo

PO8 Administrar la Calidad

Se debe elaborar y mantener un sistema de administracin de calidad, el cual incluya procesos y estndares probados de desarrollo y de adquisicin. Esto se facilita por medio de la planeacin, implantacin y mantenimiento del sistema de administracin de calidad, proporcionando requerimientos, procedimientos y polticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables.

OBJETIVOS DE CONTROL PO8.1 Sistema de Administracin de Calidad PO8.2 Estndares y Prcticas de Calidad PO8.3 Estndares de Desarrollo y de Adquisicin PO8.4 Enfoque en el Cliente de TI PO8.5 Mejora Continua PO8.6 Medicin, Monitoreo y Revisin de la Calidad

PO9 Evaluar y Administrar los Riesgos de TI

Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos. El marco de trabajo documenta un nivel comn y acordado de riesgos de TI, estrategias de mitigacin y riesgos residuales. Cualquier impacto potencial sobre las metas de la organizacin, causado por algn evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigacin de riesgos para minimizar los riesgos residuales a un nivel aceptable.

OBJETIVOS DE CONTROL 5|Page

AUDITORIA V

GRUPO 9


PO9.1 Marco de Trabajo de Administracin de Riesgos PO9.2 Establecimiento del Contexto del Riesgo PO9.3 Identificacin de Eventos PO9.4 Evaluacin de Riesgos de TI PO9.5 Respuesta a los Riesgos PO9.6 Mantenimiento y Monitoreo de un Plan de Accin de Riesgos

PO10 Administrar Proyectos

Establecer un marco de trabajo de administracin de programas y proyectos para la administracin de todos los proyectos de TI establecidos. El marco de trabajo debe garantizar la correcta asignacin de prioridades y la coordinacin de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignacin de recursos, definicin de entregables, aprobacin de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisin de pruebas y postimplantacin despus de la instalacin para garantizar la administracin de los riesgos del proyecto y la entrega de valor para el negocio.

OBJETIVOS DE CONTROL PO10.1 Marco de Trabajo para la Administracin de Programas PO10.2 Marco de Trabajo para la Administracin de Proyectos PO10.3 Enfoque de Administracin de Proyectos PO10.4 Compromiso de los Interesados PO10.5 Declaracin de Alcance del Proyecto PO10.6 Inicio de las Fases del Proyecto PO10.7 Plan Integrado del Proyecto PO10.8 Recursos del Proyecto PO10.9 Administracin de Riesgos del Proyecto PO10.10 Plan de Calidad del Proyecto PO10.11 Control de Cambios del Proyecto PO10.12 Planeacin del Proyecto y Mtodos de Aseguramiento 6|Page

AUDITORIA V

GRUPO 9


PO10.13 Medicin del Desempeo, Reporte y Monitoreo del Proyecto PO10.14 Cierre del Proyecto Adquirir e Implementar

AI1 Identificar soluciones automatizadas

La necesidad de una nueva aplicacin o funcin requiere de anlisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definicin de las necesidades, considera las fuentes alternativas, realiza una revisin de la factibilidad tecnolgica y econmica, ejecuta un anlisis de riesgo y de costo-beneficio y concluye con una decisin final de desarrollar o comprar.

OBJETIVOS DE CONTROL AI1.1 Definicin y Mantenimiento de los Requerimientos Tcnicos y Funcionales del Negocio AI1.2 Reporte de Anlisis de Riesgos AI1.3 Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos AI1.4 Requerimientos, Decisin de Factibilidad y Aprobacin

AI2 Adquirir y mantener software aplicativo

Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseo de las aplicaciones, la inclusin apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuracin en s de acuerdo a los estndares.

OBJETIVOS DE CONTROL AI2.1 Diseo de Alto Nivel AI2.2 Diseo Detallado AI2.3 Control y Posibilidad de Auditar las Aplicaciones 7|Page

AUDITORIA V

GRUPO 9


AI2.4 Seguridad y Disponibilidad de las Aplicaciones AI2.5 Configuracin e Implantacin de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administracin de los Requerimientos de Aplicaciones AI2.10 Mantenimiento de Software Aplicativo

AI3 Adquirir y mantener infraestructura tecnolgica

Las organizaciones deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnolgica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnolgicas convenidas y la disposicin del ambiente de desarrollo y pruebas.

OBJETIVOS DE CONTROL AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura AI3.3 Mantenimiento de la Infraestructura AI3.4 Ambiente de Prueba de Factibilidad

AI4 Facilitar la operacin y el uso

El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generacin de documentacin y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operacin correctos de las aplicaciones y la infraestructura.

OBJETIVOS DE CONTROL AI4.1 Plan para Soluciones de Operacin AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 Transferencia de Conocimiento a Usuarios Finales 8|Page

AUDITORIA V

GRUPO 9


AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte

AI5 Adquirir recursos de TI

Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definicin y ejecucin de los procedimientos de adquisicin, la seleccin de proveedores, el ajuste de arreglos contractuales y la adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.

OBJETIVOS DE CONTROL AI5.1 Control de Adquisicin AI5.2 Administracin de Contratos con Proveedores AI5.3 Seleccin de Proveedores AI5.4 Adquisicin de Recursos de TI

AI6 Administrar cambios

Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de produccin, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los resultados planeados despus de la implantacin.

OBJETIVOS DE CONTROL AI6.1 Estndares y Procedimientos para Cambios AI6.2 Evaluacin de Impacto, Priorizacin y Autorizacin AI6.3 Cambios de Emergencia AI6.4 Seguimiento y Reporte del Estatus de Cambio AI6.5 Cierre y Documentacin del Cambio

9|Page

AUDITORIA V

GRUPO 9


AI7 Instalar y acreditar soluciones y cambios

Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transicin e instrucciones de migracin, planear la liberacin y la transicin en s al ambiente de produccin, y revisar la post-implantacin. Esto garantiza que los sistemas operativos estn en lnea con las expectativas convenidas y con los resultados.

OBJETIVOS DE CONTROL AI7.1 Entrenamiento AI7.2 Plan de Prueba AI7.3 Plan de Implantacin AI7.4 Ambiente de Prueba AI7.5 Conversin de Sistemas y Datos AI7.6 Pruebas de Cambios AI7.7 Prueba de Aceptacin Final. AI7.8 Promocin a Produccin AI7.9 Revisin Posterior a la Implantacin Entregar y Dar Soport

DS1 Definir y administrar los niveles de servicio

Contar con una definicin documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicacin efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso tambin incluye el monitoreo y la notificacin oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio.

10 | P a g e

AUDITORIA V

GRUPO 9


OBJETIVOS DE CONTROL DS1.1 Marco de Trabajo de la Administracin de los Niveles de Servicio DS1.2 Definicin de Servicios DS1.3 Acuerdos de Niveles de Servicio DS1.4 Acuerdos de Niveles de Operacin DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio DS1.6 Revisin de los Acuerdos de Niveles de Servicio y de los Contratos

DS2 Administrar los servicios de terceros

La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de administracin de terceros. Este proceso se logra por medio de una clara definicin de roles, responsabilidades y expectativas en los acuerdos con los terceros, as como con la revisin y monitoreo de la efectividad y cumplimiento de dichos acuerdos.

OBJETIVOS DE CONTROL DS2.1 Identificacin de Todas las Relaciones con Proveedores DS2.2 Gestin de Relaciones con Proveedores DS2.3 Administracin de Riesgos del Proveedor DS2.4 Monitoreo del Desempeo del Proveedor

DS3 Administrar el desempeo y la capacidad

La necesidad de administrar el desempeo y la capacidad de los recursos de TI requiere de un proceso para revisar peridicamente el desempeo actual y la capacidad de los recursos de TI. Este proceso incluye el pronstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias.

OBJETIVOS DE CONTROL DS3.1 Planeacin del Desempeo y la Capacidad 11 | P a g e

AUDITORIA V

GRUPO 9


DS3.2 Capacidad y Desempeo Actual DS3.3 Capacidad y Desempeo Futuros DS3.4 Disponibilidad de Recursos de TI DS3.5 Monitoreo y Reporte

DS4 Garantizar la continuidad del servicio

La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma peridica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio.

OBJETIVOS DE CONTROL DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI DS4.3 Recursos Crticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribucin del Plan de Continuidad de TI DS4.8 Recuperacin y Reanudacin de los Servicios de TI DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisin Post Reanudacin

DS5 Garantizar la seguridad de los sistemas

La necesidad de mantener la integridad de la informacin y de proteger los activos de TI, requiere de un proceso de administracin de la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, polticas, 12 | P a g e

AUDITORIA V

GRUPO 9


estndares y procedimientos de TI. La administracin de la seguridad tambin incluye realizar monitoreos de seguridad y pruebas peridicas as como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados.

OBJETIVOS DE CONTROL DS5.1 Administracin de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administracin de Identidad DS5.4 Administracin de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definicin de Incidente de Seguridad DS5.7 Proteccin de la Tecnologa de Seguridad DS5.8 Administracin de Llaves Criptogrficas DS5.9 Prevencin, Deteccin y Correccin de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos

DS6 Identificar y asignar costos

La necesidad de un sistema justo y equitativo para asignar costos de TI al negocio, requiere de una medicin precisa y un acuerdo con los usuarios del negocio sobre una asignacin justa. Este proceso incluye la construccin y operacin de un sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios.

OBJETIVOS DE CONTROL DS6.1 Definicin de Servicios DS6.2 Contabilizacin de TI DS6.3 Modelacin de Costos y Cargos DS6.4 Mantenimiento del Modelo de Costos

DS7 Educar y entrenar a los usuarios

13 | P a g e

AUDITORIA V

GRUPO 9


Para una educacin efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios. Adems de identificar las necesidades, este proceso incluye la definicin y ejecucin de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados.

OBJETIVOS DE CONTROL DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin DS7.2 Imparticin de Entrenamiento y Educacin DS7.3 Evaluacin del Entrenamiento Recibido

DS8 Administrar la mesa de servicio y los incidentes

Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, requiere de una mesa de servicio bien diseada y bien ejecutada, y de un proceso de administracin de incidentes. Este proceso incluye la creacin de una funcin de mesa de servicio con registro, escalamiento de incidentes, anlisis de tendencia, anlisis causa-raiz y resolucin.

OBJETIVOS DE CONTROL DS8.1 Mesa de Servicios DS8.2 Registro de Consultas de Clientes DS8.3 Escalamiento de Incidentes DS8.4 Cierre de Incidentes DS8.5 Anlisis de Tendencias

DS9 Administrar la configuracin

Garantizar la integridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de configuraciones completo y preciso. Este proceso incluye la recoleccin de informacin de la configuracin inicial, el 14 | P a g e

AUDITORIA V

GRUPO 9


establecimiento de normas, la verificacin y auditora de la informacin de la configuracin y la actualizacin del repositorio de configuracin conforme se necesite.

OBJETIVOS DE CONTROL DS9.1 Repositorio y Lnea Base de Configuracin DS9.2 Identificacin y Mantenimiento de Elementos de Configuracin DS9.3 Revisin de Integridad de la Configuracin

DS10 Administrar los problemas

Una efectiva administracin de problemas requiere la identificacin y clasificacin de problemas, el anlisis de las causas desde su raz, y la resolucin de problemas. El proceso de administracin de problemas tambin incluye la identificacin de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisin del estatus de las acciones correctivas.

OBJETIVOS DE CONTROL DS10.1 Identificacin y Clasificacin de Problemas DS10.2 Rastreo y Resolucin de Problemas DS10.3 Cierre de Problemas DS10.4 Integracin de las Administraciones de Cambios, Configuracin y Problemas

DS11 Administrar los datos

Una efectiva administracin de datos requiere de la identificacin de requerimientos de datos. El proceso de administracin de informacin tambin incluye el establecimiento de procedimientos efectivos para administrar la librera de medios, el respaldo y la recuperacin de datos y la eliminacin apropiada de medios. Una efectiva administracin de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la informacin del negocio.

15 | P a g e

AUDITORIA V

GRUPO 9


OBJETIVOS DE CONTROL DS11.1 Requerimientos del Negocio para Administracin de Datos DS11.2 Acuerdos de Almacenamiento y Conservacin DS11.3 Sistema de Administracin de Libreras de Medios DS11.4 Eliminacin DS11.5 Respaldo y Restauracin DS11.6 Requerimientos de Seguridad para la Administracin de Datos

DS12 Administrar el ambiente fsico

La proteccin del equipo de cmputo y del personal, requiere de instalaciones bien diseadas y bien administradas. El proceso de administrar el ambiente fsico incluye la definicin de los requerimientos fsicos del centro de datos (site), la seleccin de instalaciones apropiadas y el diseo de procesos efectivos para monitorear factores ambientales y administrar el acceso fsico.

OBJETIVOS DE CONTROL DS12.1 Seleccin y Diseo del Centro de Datos DS12.2 Medidas de Seguridad Fsica DS12.3 Acceso Fsico DS12.4 Proteccin Contra Factores Ambientales DS12.5 Administracin de Instalaciones Fsicas

DS13 Administrar las operaciones

Un procesamiento de informacin completo y apropiado requiere de una efectiva administracin del procesamiento de datos y del mantenimiento del hardware. Este proceso incluye la definicin de polticas y procedimientos de operacin para una administracin efectiva del procesamiento programado, proteccin de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware. 16 | P a g e

AUDITORIA V

GRUPO 9


OBJETIVOS DE CONTROL DS13.1 Procedimientos e Instrucciones de Operacin DS13.2 Programacin de Tareas DS13.3 Monitoreo de la Infraestructura de TI DS13.4 Documentos Sensitivos y Dispositivos de Salida DS13.5 Mantenimiento Preventivo del Hardware

Monitorear y Evaluar

ME1 Monitorear y Evaluar el Desempeo de TI

Una efectiva administracin del desempeo de TI requiere un proceso de monitoreo. El proceso incluye la definicin de indicadores de desempeo relevantes, reportes sistemticos y oportunos de desempeo y tomar medidas expeditas cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se hagan y que estn de acuerdo con el conjunto de direcciones y polticas.

OBJETIVOS DE CONTROL ME1.1 Enfoque del Monitoreo ME1.2 Definicin y Recoleccin de Datos de Monitoreo ME1.3 Mtodo de Monitoreo ME1.4 Evaluacin del Desempeo ME1.5 Reportes al Consejo Directivo y a Ejecutivos ME1.6 Acciones Correctivas

ME2 Monitorear y Evaluar el Control Interno

Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las 17 | P a g e

AUDITORIA V

GRUPO 9


excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables.

OBJETIVOS DE CONTROL ME2.1 Monitoreo del Marco de Trabajo de Control Interno ME2.2 Revisiones de Auditora ME2.3 Excepciones de Control ME2.4 Auto Evaluacin del Control ME2.5 Aseguramiento del Control Interno ME2.6 Control Interno para Terceros ME2.7 Acciones Correctivas

ME3 Garantizar el Cumplimiento Regulatorio

Una supervisin efectiva del cumplimiento requiere del establecimiento de un proceso de revisin para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales. Este proceso incluye la identificacin de requerimientos de cumplimiento, optimizando y evaluando la respuesta, obteniendo aseguramiento que los

requerimientos se han cumplido y, finalmente integrando los reportes de cumplimiento de TI con el resto del negocio.

OBJETIVOS DE CONTROL ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales ME3.2 Optimizar la Respuesta a Requerimientos Externos ME3.3 Evaluacin del Cumplimiento con Requerimientos Externos ME3.4 Aseguramiento Positivo del Cumplimiento ME3.5 Reportes Integrados 18 | P a g e

AUDITORIA V

GRUPO 9


ME4 Proporcionar Gobierno de TI

El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definicin de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para garantizar as que las inversiones empresariales en TI estn alineadas y de acuerdo con las estrategias y objetivos empresariales.

OBJETIVOS DE CONTROL ME4.1 Establecimiento de un Marco de Gobierno de TI ME4.2 Alineamiento Estratgico ME4.3 Entrega de Valor ME4.4 Administracin de Recursos ME4.5 Administracin de Riesgos ME4.6 Medicin del Desempeo ME4.7 Aseguramiento Independiente

19 | P a g e

Dominios Cobit Grupo 9 Resumen

Documents

Transcript of Dominios Cobit Grupo 9 Resumen