BASADO EN CONTROLES
COBIT define objetivos de control para los 34 procesos, así como para el proceso general y los controles de aplicación.
LOS PROCESOS REQUIEREN CONTROLES
Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.
Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a considerar por la gerencia para un control efectivo de cada proceso de TI. Ellos:
• Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo
• Consisten en políticas, procedimientos, prácticas y estructuras organizacionales.
• Están diseñadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se conseguirán y que los eventos no deseables se prevendrán, detectarán y corregirán.
La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control:
• Seleccionando aquellos aplicables.
• Decidir aquellos que deben implementarse.
• Elegir como implementarlos (frecuencia, extensión, automatización, etc.)
• Aceptar el riesgo de no implementar aquellos que podrían aplicar.
La gerencia de operaciones usa los procesos para organizar y administrar las actividades de TI en curso. COBIT brinda un modelo genérico de procesos que
representa todos los procesos que normalmente se encuentran en las funciones de TI, proporcionando un modelo de referencia general y entendible para la gerencia de operaciones de TI y para la gerencia de negocios. Para lograr un gobierno efectivo, los gerentes de operaciones deben implementar los controles necesarios dentro de un marco de control definido para todos los procesos TI. Ya que los objetivos de control de TI de COBIT están organizados por procesos de TI, el marco de trabajo brinda vínculos claros entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI.
Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios de objetivos de control detallados. Como un todo, representan las características de un proceso bien administrado.
Los objetivos de
control detallados se identifican por dos caracteres que representan el dominio
(PO, AI, DS y ME) más un número de proceso y un número de objetivo de control.
Además de los objetivos de control detallados, cada proceso COBIT tiene requerimientos de control genéricos
que se identifican con PCn, que significa Control de Proceso número. Se deben
tomar como un todo junto con los objetivos de control del proceso para tener
una visión completa de los requerimientos de control.
PC1 Metas y Objetivos del Proceso
Definir y
comunicar procesos, metas y objetivos específicos, medibles, accionables,
reales, orientados a resultado y en tiempo (SMARRT) para la ejecución efectiva
de cada proceso de TI. Asegurando que están enlazados a las metas de negocio y
se soportan por métricas adecuadas.
PC2 Propiedad del Proceso
Asignar un dueño
para cada proceso de TI, y definir claramente los roles y responsabilidades del
dueño del proceso. Incluye, por ejemplo, responsabilidad del diseño del
proceso, interacción con otros procesos, rendición de cuentas de los resultados
finales, medición del desempeño del proceso y la identificación de mejora de
las oportunidades.
PC3 Proceso Repetible
Diseñar y
establecer cada proceso clave de TI de tal manera que sea repetible y
consecuentemente produzca los resultados esperados. Proveer una secuencia
lógica pero flexible y escalable de actividades que lleve a los resultados
deseados y que sea lo suficientemente ágil para manejar las excepciones y
emergencias. Usar procesos consistentes, cuando sea posible, y ajustarlos sólo
cuando no se pueda evitar.
PC4 Roles y Responsabilidades
Definir las
actividades clave y entregables finales del proceso. Asignar y comunicar roles
y responsabilidades no ambiguas para la ejecución efectiva y eficiente de las
actividades clave y su documentación, así como la rendición de cuentas para los
entregables finales del proceso.
PC5 Políticas, Planes y Procedimientos
Definir y
comunicar cómo todas las políticas, planes y procedimientos que dirigen los
procesos de TI están documentados, revisados, mantenidos, aprobados,
almacenados, comunicados y usados para el entrenamiento. Asignar
responsabilidades para cada una de estas actividades y en momentos oportunos,
revisar si se ejecutan correctamente. Asegurar que las políticas, planes y
procedimientos son accesibles, correctos, entendidos y actualizados
PC6 Desempeño del Proceso
Identificar un
conjunto de métricas que proporcionen visión de las salidas y el desempeño del
proceso. Establecer objetivos que se reflejen en las metas del proceso y los
indicadores de desempeño de tal manera que permitan el logro de las metas de los
procesos. Definir como los datos son obtenidos. Comparar las medidas actuales
con los objetivos y tomar las acciones sobre las desviaciones cuando sea
necesario. Alinear métricas, objetivos y métodos con el enfoque de monitoreo
global del desempeño de TI.
Controles de negocio y de TI
El sistema de
control interno de la empresa impacta en TI a tres niveles:
• Al nivel de dirección ejecutiva, se
fijan los objetivos de negocio, se establecen políticas y se toman decisiones
de cómo aplicar y administrar los recursos empresariales para ejecutar la
estrategia de la compañía. El enfoque genérico hacia el gobierno y el control
se establece por parte del consejo y se comunica a todo lo largo de la empresa.
El ambiente de control de TI es guiado por este conjunto de objetivos y
políticas de alto nivel.
• Al nivel de procesos de negocio, se
aplican controles para actividades específicas del negocio. La mayoría de los
procesos de negocio están automatizados e integrados con los sistemas
aplicativos de TI, dando como resultado que muchos de los controles a este
nivel estén automatizados. Estos se conocen como controles de las aplicaciones.
Sin embargo, algunos controles dentro del proceso de negocios permanecen como
procedimientos manuales, como la autorización de transacciones, la separación
de funciones y las conciliaciones manuales. Los controles al nivel de procesos
de negocio son, por lo tanto, una combinación de controles manuales operados
por el negocio, controles de negocio y controles de aplicación automatizados.
Ambos son responsabilidad del negocio en cuanto a su definición y
administración aunque los controles de aplicación requieren que la función de
TI dé soporte a su diseño y desarrollo.
• Para soportar los procesos de negocio,
TI proporciona servicios, por lo general de forma compartida, por varios
procesos de negocio, así como procesos operativos y de desarrollo de TI que se
proporcionan a toda la empresa, y mucha de la infraestructura de TI provee un
servicio común (es decir, redes, bases de datos, sistemas operativos y
almacenamiento). Los controles aplicados a todas las actividades de servicio de
TI se conocen como controles generales de TI. La operación formal de estos
controles generales es necesaria para que dé confiabilidad a los controles en aplicación.
Por ejemplo, una deficiente administración de cambios
No hay comentarios:
Publicar un comentario