Professional Documents
Culture Documents
las TI (dominio ME), cubriendo la medición del desempeño, la efectividad del control interno,
conformidad con requisitos externos y la consecución de un eficaz gobierno corporativo.
• PO1 Definir un plan estratégico de TI
MARCO OBEJTIVOS DE NEGOCIO Y
• PO2 Definir la arquitectura de la
OBJETIVOS DE GOBIERNO
DE información.
• PO3 Determinar dirección tecnológica.
TRABAJO DEL COBIT • PO4 Definir los procesos,
organización y relaciones de TI.
INFORMACION
• PO5 Administrar la inversión en TI.
• ME1 Monitorear y • PO6 Comunicar las aspiraciones y
Evaluar el dirección de la gerencia.
Eficienci
desempeño de TI Integrid • PO7 Administrar los recursos humanos
Eficacia
• ME2 Monitorear y Disponibilid de TI.
Cumplimient
evaluar el control o
ad
Confidenciali • PO8 Administrar la calidad.
MONITOREO Y EVALUACION
Confiabilida PLANEAR Y ORGANIZAR
interno • PO9 Evaluar y administrar los riesgos
• ME3 Garantizar el RECURSOS DE TECNOLOGIAS DE INFORMACIONN de TI.
cumplimiento • DS1 Definir y administrar niveles de
servicio.
• DS2 Administrar los servicios de
• Aplicaciones
• Información terceros.
• Infraestructura
• Gente • DS3 Administrar el desempeño y la
ENTREGAR Y DAR SOPORTE ADQUIRIR E IMPLANAR capacidad.
• DS4 Garantizar la continuidad de
servicio.
• DS5 Garantizar la seguridad de los
sistemas.
• DS6 Identifica y asignar costos.
• AI1 Identificar soluciones • DS7 Educar y entrenar usarlos.
automatizadas. • DS8 Administrar la mesa de servicios
• AI2 Adquirir y mantener software • DS9 Administrar la configuración.
aplicativo. • DS10 Administrar problemas.
• AI3 Adquirir y mantener
infraestructura tecnológica.
• AI4 Facilitar la operación y el uso
• AI5 Adquirir recursos de TI .
• AI6 Administrar cambios
Monitorización y evaluación (ME)
Un Control sobre el
Garantizan el cumplimiento
Enfocándose en:
La identificación de todas las leyes y regulaciones
aplicables y el nivel correspondiente de cumplimiento de TI
y laOptimización de los procesos de TI para reducir el
riesgo de no cumplimiento
• La identificación de los requisitos legales y regulatorios
Se logra con relacionados con TI
• La evaluación del impacto de los requisitos regulatorios
• El monitoreo y reporte del cumplimiento de los requisitos
NOTA:
NOTA:
Evaluar riesgos y optimizar el perfil de riesgos organizacionales
con un portafolio de iniciativas, tácticas y actividades
► Identificación de Riesgos
► Análisis de Riesgos
► Optimización de Riesgos
NOTA:
• Definir e implantar procedimientos para obtener y reportar un
aseguramiento del cumplimiento.
• Mantener la integridad a lo largo de todo el ciclo de vida del
procesamiento.
• Definir los procedimientos de manejo de errores durante la
generación de los datos que aseguran de forma razonable la
detección, el reporte y la corrección de errores e irregularidades.
Riesgo:
► Falta de evidencia en los errores producidos.
► Errores de datos no detectados.
Valor:
► Errores de procesamiento detectados oportunamente.
► Posibilidad de investigar errores.
Reportes Integrados
Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares pro
ME3.
funciones del negocio.
5
NOTA:
Informar Integrar:
Desde Entradas
servicio de TI
FUNCIONES
A/R I R R R R R R I
Brindar retro alimentación para alinear las políticas, estándares y procedimientos de TI con
Matriz RACI
Metas y Métricas
TI PROCESOS ACTIVIDADES
Identificar todas las leyes y regulaciones • Identificar los requerimientos
• Garantizar el aplicables e identificar el nivel de legales y
METAS
LESE
ESTAB
no regulatorios
cumplimiento • Monitorear y reportar el
cumplimiento de los
Minimizar el impacto al negocio de los requerimientos regulatorios
eventos de cumplimiento identificados
MIDE
MIDE MIDE
DIRIG DIRIG
0 No Existente cuando
Existe poca conciencia respecto a los requerimientos externos que afectan a
TI, sin procesos referentes al cumplimiento de requisitos regulatorios,
legales y contractuales.
3 Definido cuando
Se han desarrollado, documentado y comunicado políticas, procedimientos y
procesos, para garantizar el cumplimiento de los reglamentos y de las
obligaciones contractuales y legales, pero algunas quizá no se sigan y
algunas quizá estén desactualizadas o sean poco prácticas de implementar.
Se realiza poco monitoreo y existen requisitos de cumplimiento que no han
sido resueltos. Se brinda entrenamiento sobre requisitos legales y
regulatorios externos que afectan a la organización y se instruye respecto a
los procesos de cumplimiento definidos. Existen contratos pro forma y
procesos legales estándar para minimizar los riesgos asociados con las
obligaciones contractuales.
5 Optimizado cuando
Existe un proceso bien organizado, eficiente e implantado para cumplir con
los requerimientos externos, basado en una sola función central que brinda
orientación y coordinación a toda la organización. Hay un amplio
conocimiento de los requerimientos externos aplicables, incluyendo sus
tendencias futuras y cambios anticipados, así como la necesidad de nuevas
soluciones. La organización participa en discusiones externas con grupos
regulatorios y de la industria para entender e influenciar los requerimientos
externos que la puedan afectar. Se han desarrollado mejores prácticas que
aseguran el cumplimiento de los requisitos externos, y esto ocasiona que
haya muy pocos casos de excepciones de cumplimiento. Existe un sistema
central de rastreo para toda la organización, que permite a la gerencia
documentar el flujo de trabajo, medir y mejorar la calidad y efectividad del
proceso de monitoreo del cumplimiento. Un proceso externo de auto-
evaluación de requerimientos existe y se ha refinado hasta alcanzar el nivel
de buena práctica. El estilo y la cultura administrativa de la organización
referente al cumplimiento es suficientemente fuerte, y se elaboran los
procesos suficientemente bien para que el entrenamiento se limite al nuevo
personal y siempre que ocurra un cambio significativo.