COBIT 4.1. Monitorear y Evaluar ME3 Garantizar el Cumplimiento con Requerimientos Externos. By Juan Antonio Vásquez

Transcripción

1 COBIT 4.1 ME3 Garantizar el Cumplimiento By Juan Antonio Vásquez

2 Una supervisión efectiva del cumplimiento regulatorio requiere del establecimiento de un proceso independiente de revisión para garantizar el cumplimiento de las leyes y regulaciones. Este proceso incluye la definición de una declaración de auditoría, independencia de los auditores, ética y estándares profesionales, planeación, desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría.

3 Los Criterios de Información que se cumplen para satisfacer los requerimientos de calidad, fiduciarios o seguridad del negocio son, primarios: Cumplimiento. Secundarios: Confiabilidad. Las áreas del enfoque de Gobierno de TI que se cubren son, primarias: Alineación Estratégica y Administración de Riesgos. Asimismo, los Recursos Esenciales de TI que se requieren son: Aplicaciones, Información, Infraestructura y Personas.

4 El proceso satisface el requerimiento del negocio de TI para cumplir las leyes y regulaciones. Para ello se enfoca en identificar todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no cumplimiento. Se logra con 1. Identificando los requisitos legales y regulatorios relacionados con TI. 2. Evaluando el impacto de los requisitos regulatorios. 3. Monitoreando y reportando el cumplimiento de los requisitos regulatorios.

5 ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales Identificar, sobre una base continua, leyes locales e internacionales, regulaciones, y otros requerimientos externos que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI de la organización. ME3.2 Optimizar la Respuesta a Requerimientos Externos Revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para garantizar que los requisitos legales, regulatorios y contractuales son direccionados y comunicados.

6 ME3.3 Evaluación del Cumplimiento Confirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de TI con requerimientos legales y regulatorios. ME3.4 Aseguramiento Positivo del Cumplimiento Obtener y reportar la garantía de cumplimiento y adhesión a todas las políticas internas o requerimientos externos, etc. confirmando que se tomaron las acciones para resolver las brechas de cumplimiento. ME3.5 Reportes Integrados Integrar los reportes de TI de requerimientos legales, regulatorios y contractuales con las salidas similares de otras funciones del negocio.

7 Matriz RACI Auditoría debe ser Informada.

8 Modelo de Madurez Nivel 0 ó No Existente cuando existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales. Nivel 1 ó Inicial / Ad Hoc cuando existe conciencia de los requisitos de cumplimiento regulatorio, contractual y legal que tienen impacto en la organización. Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones.

9 Nivel 2 o Repetible pero Intuitivo cuando existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la necesidad se comunica. Para los requerimientos recurrentes se han desarrollado procedimientos de cumplimiento y se siguen año con año. No existe un enfoque estándar. Nivel 3 o Definido cuando se han desarrollado, documentado y comunicado políticas, procedimientos y procesos, para garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales, pero algunas quizá no se sigan y algunas estén desactualizadas. Se monitorea poco. Se brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos.

10 Nivel 4 o Administrado y Medible cuando existe un esquema formal de entrenamiento que asegura que todo el equipo esté consciente de sus obligaciones de cumplimiento. Las responsabilidades son claras. Los eventos de no cumplimiento se analizan de forma estándar en busca de las causas raíz, con el objetivo de identificar soluciones sostenibles. Nivel 5 u Optimizado cuando existe un proceso bien organizado, eficiente e implantado para cumplir con los requerimientos externos. Se han desarrollado mejores prácticas que aseguran el cumplimiento de los requisitos externos, y por eso hay muy pocos casos de excepciones de cumplimiento. Se elaboran los procesos suficientemente bien para que el entrenamiento se limite al nuevo personal y siempre que ocurra un cambio significativo.