Empresa a auditar Objetivo de Control Fecha Auditoria

Monitorear y Evaluar el Desempeño de TI. 07 07 08

Bibiana García Duque.

Auditores
Paula Andrea Zuluaga.
Responsable auditado
El propósito de está auditoria incluye la definición de indicadores de desempeño relevantes,
reportes sistemáticos y oportunos de desempeño y tomar medidas expeditas cuando existan
desviaciones.
 CONTENIDO

CONTENIDO................................................................................................................ ..................2

1. DESCRIPCIÓN DEL PROCESO............................................................................. ..................3

1.1 OBJETIVO DE CONTROL DE ALTO NIVEL ............................................................................................... 3

1.2 OBJETIVOS DE CONTROL DETALLADOS..................................................................................................5
1.3 INFORMACIÓN DE APOYO.....................................................................................................................7
1.3.1 DIRECTRICES GENERALES..................................................................................................................7
1.3.2 GRÁFICA RACI..............................................................................................................................8
1.3.3 METAS Y MÉTRICAS..........................................................................................................................8
1.4 MODELO DE MADUREZ......................................................................................................................9

2. GUÍA DE AUDIOTORIA................................................................................... .......................12

2.1 OBJETIVOS DE CONTROL...................................................................................................................12

2.2 OBTENCIÓN DE CONOCIMIENTO..........................................................................................................12
2.2.1 RECURSO HUMANO A CONSULTAR......................................................................................................12
2.2.2 INFORMACIÓN A CONOCER................................................................................................................13
2.3 ASPECTOS A EVALUAR.......................................................................................................................13
2.3.1 EVALUACIÓN DE LOS CONTROLES, CONSIDERANDO SI:...........................................................................13
2.3.2 EVALUACIÓN DE LA SUFICIENCIA, PROBANDO QUE:..............................................................................15

2.3.3 EVALUACIÓN DEL RIESGO................................................................................................................16

2.4 HERRAMIENTAS................................................................................................................................16
Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

1. DESCRIPCIÓN DEL PROCESO

1.1 Objetivo de control de alto nivel

Una efectiva administración del desempeño de TI requiere un proceso de

monitoreo. El proceso incluye la definición de indicadores de desempeño
relevantes, reportes sistemáticos y oportunos de desempeño y tomar medidas
expeditas cuando existan desviaciones. El monitoreo se requiere para garantizar
que las cosas correctas se hagan y que estén de acuerdo con el conjunto de
direcciones y políticas.

Cumplimiento

Confiabilidad
Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

P P S S S S S

Satisface el requisito del negocio de TI para: transparencia y entendimiento de

los costos, beneficios, estrategia, políticas y niveles de servicio de TI de acuerdo
con los requisitos de gobierno.

Enfocándose en: monitorear y reportar las métricas del proceso e identificar e

implantar acciones de mejoramiento del desempeño.

Descripción del proceso Página 3 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

Se logra con:

Cotejar y traducir los reportes de desempeño de proceso a reportes gerenciales.

Comparar el desempeño contra las metas acordadas e iniciar las medidas

correctivas necesarias.

Y se mide con:

Satisfacción de la gerencia y de la entidad de gobierno con los reportes de

desempeño.

Número de acciones de mejoramiento impulsadas por las actividades de

monitoreo.

Porcentaje de procesos críticos monitoreados.

Focos de gobierno IT:

Primaria: Medición del Desempeño.

Recursos de TI implicados:

 Infraestructura.
 Aplicaciones.
 Infraestructura.
 Personas.

Descripción del proceso Página 4 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

1.2 Objetivos de control detallados

ME1.1 Enfoque del Monitoreo: Garantizar que la gerencia establezca un marco

de trabajo de monitoreo general y un enfoque que definan el alcance, la
metodología y el proceso a seguir para monitorear la contribución de TI a los
resultados de los procesos de administración de programas y de administración
del portafolio empresarial y aquellos procesos que son específicos para la entrega
de la capacidad y los servicios de TI.
El marco de trabajo se debería integrar con el sistema de administración del
desempeño corporativo.

ME1.2 Definición y recolección de datos de monitoreo: Garantizar que la

gerencia de TI, trabajando en conjunto con el negocio, defina un conjunto
balanceado de objetivos, mediciones, metas y comparaciones de desempeño y
que estas se encuentren acordadas formalmente con el negocio y otros
interesados relevantes. Los indicadores de desempeño deberían incluir:
• La contribución al negocio que incluya, pero que no se limite a, la
información financiera.
• Desempeño contra el plan estratégico del negocio y de TI
• Riesgo y cumplimiento de las regulaciones
• Satisfacción del usuario interno y externo
• Procesos clave de TI que incluyan desarrollo y entrega del servicio
• Actividades orientadas a futuro, por ejemplo, la tecnología emergente, la
infraestructura re-utilizable, habilidades del personal de TI y del negocio

Se deben establecer procesos para recolectar información oportuna y precisa para

reportar el avance contra las metas.

Descripción del proceso Página 5 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

ME1.3 Método de monitoreo: Garantizar que el proceso de monitoreo implante

un método (ej. Balanced Scorecard), que brinde una visión sucinta y desde todos
los ángulos del desempeño de TI y que se adapte al sistema de monitoreo de la
empresa.

ME1.4 Evaluación del desempeño: Comparar de forma periódica el desempeño

contra las metas, realizar análisis de la causa raíz e iniciar medidas correctivas
para resolver las causas subyacentes.

ME1.5 Reportes al consejo directivo y a ejecutivos: Proporcionar reportes

administrativos para ser revisados por la alta dirección sobre el avance de la
organización hacia metas identificadas, específicamente en términos del
desempeño del portafolio empresarial de programas de inversión habilitados por
TI, niveles de servicio de programas individuales y la contribución de TI a ese
desempeño. Los reportes de estatus deben incluir el grado en el que se han
alcanzado los objetivos planeados, los entregables obtenidos, las metas de
desempeño alcanzadas y los riesgos mitigados.
Durante la revisión, se debe identificar cualquier desviación respecto al
desempeño esperado y se deben iniciar y reportar las medidas administrativas
adecuadas.

ME1.6 Acciones correctivas: Identificar e iniciar medidas correctivas basadas en

el monitoreo del desempeño, evaluación y reportes. Esto incluye el seguimiento de
todo el monitoreo, de los reportes y de las evaluaciones con:
Revisión, negociación y establecimiento de respuestas administrativas
Asignación de responsabilidades por la corrección
Rastreo de los resultados de las acciones comprometidas.

Descripción del proceso Página 6 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

1.3 Información de apoyo

1.3.1 Directrices Generales

Descripción del proceso Página 7 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

1.3.2 Gráfica RACI

1.3.3 Metas y métricas

Descripción del proceso Página 8 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

1.4 Modelo de Madurez

La administración del proceso de Monitorear y evaluar el desempeño de TI que

satisfaga los requerimientos de negocio para TI de transparencia y entendimiento
de los costos, beneficios, estrategia, políticas y niveles de servicio de TI, de
acuerdo con los requisitos de gobierno es:

0 No existente cuando, la organización no cuenta con un proceso implantado de

monitoreo. TI no lleva a cabo monitoreo de proyectos o procesos de forma
independiente. No se cuenta con reportes útiles, oportunos y precisos. La
necesidad de entender de forma clara los objetivos de los procesos no se
reconoce.

1 Inicial/Ad Hoc cuando, la gerencia reconoce una necesidad de recolectar y

evaluar información sobre los procesos de monitoreo. No se han identificado
procesos estándar de recolección y evaluación. El monitoreo se implanta y las
métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades
de proyectos y procesos de TI específicos. El monitoreo por lo general se implanta
de forma reactiva a algún incidente que ha ocasionado alguna perdida o
vergüenza a la organización. La función de contabilidad monitorea mediciones
financieras básicas para TI.

2 Repetible pero intuitiva cuando, se han identificado algunas mediciones

básicas a ser monitoreadas. Los métodos y las técnicas de recolección y
evaluación existen, pero los procesos no se han adoptado en toda la organización.
La interpretación de los resultados del monitoreo se basa en la experiencia de
individuos clave. Herramientas limitadas son seleccionadas y se implantan para
recolectar información, pero esta recolección no se basa en un enfoque planeado.

Descripción del proceso Página 9 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

3 Proceso definido cuando, la gerencia ha comunicado e institucionalizado un

procesos estándar de monitoreo. Se han implantado programas educacionales y
de entrenamiento para el monitoreo. Se ha desarrollado una base de conocimiento
formalizada del desempeño histórico. Las evaluaciones todavía se realizan al nivel
de procesos y proyectos individuales de TI y no están integradas a través de todos
los procesos. Se han definido herramientas para monitorear los procesos y los
niveles de servicio de TI. Las mediciones de la contribución de la función de
servicios de información al desempeño de la organización se han definido, usando
criterios financieros y operativos tradicionales. Las mediciones del desempeño
específicas de TI, las mediciones no financieras, las estratégicas, las de
satisfacción del cliente y los niveles de servicio están definidas. Se ha definido un
marco de trabajo para medir el desempeño.

4 Administrado y medible cuando, la gerencia ha definido las tolerancias bajo

las cuales los procesos deben operar. Los reportes de los resultados del monitoreo
están en proceso de estandarizarse y normalizarse. Hay una integración de
métricas a lo largo de todos los proyectos y procesos de TI. Los sistemas de
reporte de la administración de TI están formalizados. Las herramientas
automatizadas están integradas y se aprovechan en toda la organización para
recolectar y monitorear la información operativa de las aplicaciones, sistemas y
procesos. La gerencia puede evaluar el desempeño con base en criterios
acordados y aprobados por las terceras partes interesadas. Las mediciones de la
función de TI están alienadas con las metas de toda la organización.

5 Optimizado cuando, un proceso de mejora continua de la calidad se ha

desarrollado para actualizar los estándares y las políticas de monitoreo a nivel
organizacional incorporando mejores prácticas de la industria. Todos los procesos
de monitoreo están optimizados y dan soporte a los objetivos de toda la
organización. Las métricas impulsadas por el negocio se usan de forma rutinaria
para medir el desempeño, y están integradas en los marcos de trabajo

Descripción del proceso Página 10 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

estratégicos, tales como el Balanced Scorecard. El monitoreo de los procesos y el

rediseño continuo son consistentes con los planes de mejora de los procesos de
negocio en toda la organización. Benchmarks contra la industria y los
competidores clave se han formalizado, con criterios de comparación bien
entendidos.

Descripción del proceso Página 11 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

2. GUÍA DE AUDIOTORIA

2.1 Objetivos de control

Recogida de Datos de la Supervisión.

Evaluación del Rendimiento.

Evaluación de la Satisfacción del Cliente.

Informe de la Dirección.

2.2 Obtención de conocimiento

2.2.1 Recurso humano a consultar

Director Ejecutivo.

Director de Información

Director de auditoría interna.

Director de los servicios de información y administración del control de

calidad.

Usuarios seleccionados como recursos de los servicios de información.

Miembros del comité de auditoría.

Descripción del proceso Página 12 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

Gerente de auditoría externa.

2.2.2 Información a conocer

Políticas y procedimientos de la organización relacionadas con la planificación,

administración, seguimiento e informe sobre el resultado.

Políticas y procedimientos de los servicios de información relacionadas con el

seguimiento y el informe sobre el resultado, estableciendo iniciativas para
mejorar el resultado y la frecuencia de las revisiones.

Informes sobre las actividades de los servicios de información incluyendo, pero no

limitados a: informes internos, informes de auditorías internas, informes de
auditorías externas, informes de usuarios, encuestas de satisfacción de los
usuarios, planes de desarrollo de los sistemas e informes de avance, actas del
comité de auditoría y cualquier otro tipo de evaluación sobre el uso de los
recursos de los servicios de información de la organización.

Documentos de planificación de los servicios de información con los objetivos

para cada grupo de recursos y el resultado real en comparación con dichos
planes.

2.3 Aspectos a evaluar

2.3.1 Evaluación de los controles, considerando si:

Los datos identificados para realizar un seguimiento de los recursos de los

servicios de información son apropiados.

Descripción del proceso Página 13 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

Se usan indicadores clave de rendimiento y factores críticos de éxito para

medir el resultado de los servicios de información en comparación con los
niveles deseables.

Los informes internos sobre la utilización de los recursos de los servicios

de información (gente, instalaciones, aplicaciones, tecnología y datos) son
adecuados.

Existe una revisión administrativa de los informes de resultado de los recursos de

los servicios de información.

Considerar si, continúa.

Existen controles de seguimiento para proporcionar una retroalimentación
fiable y útil de forma oportuna.

La respuesta de la organización a las recomendaciones para mejorar el control de

calidad, auditoría interna y auditoría externa es apropiada.

Existen iniciativas y resultados de mejoras del resultado deseado.

Se está dando el resultado de la organización en comparación con las metas

establecidas dentro de la organización.

La confiabilidad y utilidad de los informes de resultado para los no usuarios es

suficiente, tales como auditor externo, comité de auditoría y alta administración
de la organización.

La oportunidad de los informes permite una respuesta rápida ante las

excepciones o incumplimientos identificados del resultado.

Descripción del proceso Página 14 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

Los informes son suficientes en comparación con las políticas y procedimientos

establecidos para el resultado de las actividades (por ejemplo, informes de
resultado).

2.3.2 Evaluación de la suficiencia, probando que:

Existen informes de seguimiento del resultado de la información.

Existe revisión administrativa de los informes de seguimiento del resultado

e iniciativas de acciones correctivas.

Los empleados son conscientes y comprenden las políticas y

procedimientos relativos al seguimiento del resultado.

La calidad y el contenido de los informes internos se relacionan con:

La recolección de datos de seguimiento del resultado.

El análisis de los datos de seguimiento del resultado.
El análisis de los datos del resultado de los recursos.
Las acciones administrativas sobre los problemas del resultado.
El análisis de las encuestas de satisfacción de los usuarios.

La alta administración está satisfecha con los informes sobre el seguimiento

del resultado.

Descripción del proceso Página 15 de 16

Monitorear y Evaluar el Desempeño de TI.
CHauditoria Consultores S.A.

2.3.3 Evaluación del riesgo

2.3.3.1 Llevando a cabo:

Referencia del seguimiento del resultado respecto a organizaciones similares o

estándares internacionales y prácticas industriales reconocidas.

Revisión de la relevancia de los datos dentro de los procesos que se están

revisando.

Revisión del resultado real con respecto a lo planificado en todas las áreas de los
servicios de información.

Satisfacción real con respecto a lo anticipado de los usuarios de todas las

áreas de los servicios de información.

Análisis del grado de cumplimiento de las metas e iniciativas para realizar

mejoras.

Análisis del nivel de implantación de las recomendaciones de la

administración.

2.3.3.2 Identificando

La responsabilidad, autoridad e independencia del personal de seguimiento

dentro de la organización de los sistemas de información.

2.4 Herramientas

Descripción del proceso Página 16 de 16