Gestión del Cumplimiento de TI

¿Se gestionan los riesgos y los controles de TI para mejorar el rendimiento?

El área de decisión Gestión del cumplimiento de TI consolida información de las distintas iniciativas de cumplimiento. Normalmente, requiere tres fuentes de información:

  • Software de gestión sobre el programa de cumplimiento , como el utilizado para Sarbanes-Oxley. Permite a TI garantizar que se realizan las tareas asociadas al cumplimiento y que se satisfacen los hitos del programa.
  • Información de los propios controles. De los 34 procesos de TI de los cuatro dominios utilizados en COBIT, es necesario un subconjunto para Sarbanes-Oxley, especialmente los controles de seguridad y acceso, la gestión de cambios y versiones y la gestión de incidencias y problemas. Estos controles implican revisar grandes volúmenes de datos y señalar las excepciones a los procedimientos establecidos.
  • Metadatos. Las empresas realizan mayoritariamente controles manuales internos. Aproximadamente más de dos terceras partes son controles “detectores”, frente a los “preventivos”, más fiables. Los controles detectores implican la revisión de los registros transaccionales de forma detallada y resumida. Necesitamos una traza de auditoría clara que vincule la fuente de información con las definiciones y reglas de negocio aplicables. La monitorización y el análisis de qué metadatos gobiernan qué informes y quién tiene acceso a ellos crea un entorno de control más fiable.

Para ayudar en este análisis, el área de decisión Gestión del cumplimiento de TI permite establecer objetivos de planificación y un cuadro de indicadores para los elementos de gestión del rendimiento siguientes:

  • Realización del cumplimiento (%)
  • Costes del cumplimiento (€)
  • Escasez de material (#)
  • Cumplimiento de la normativa (%)
  • Controles y excepciones (#)
  • Costes de las auditorías externas y de las auditorías internas subcontratadas (€)

Con un sistema de gestión del rendimiento en esta área de decisión, podemos analizar estos objetivos y métricas en función de un número de dimensiones, incluyendo:

  • Tipo de aplicación de software
  • Entorno de infraestructura
  • Propietario del control y frecuencia
  • Cuenta financiera
  • Procesos de control de TI (COBIT)
  • Estado transaccional

Uso del área de decisión Gestión del cumplimiento de TI

Como profesionales de TI, el área de decisión Gestión del cumplimiento de TI nos permite formular cuestiones como:

  • Controles: ¿Estamos reduciendo el número de controles manuales para una aplicación en particular, o están creciendo y aumentando la demanda de recursos?
  • Realización del cumplimiento: ¿Existe una tendencia coherente por parte del propietario del control para satisfacer las demandas de cumplimiento?
  • Cuotas de auditorías externas: ¿Observamos un incremento de las cuotas externas para una cuenta determinada cuando reducimos nuestro compromiso interno de recursos? ¿Cuál es el coste total?
 
Página: 1 2 3 4 5 6
 
 
Contacte con nosostros