MONITOREO

Conceptos
ME1 Monitorear y evaluar el desempeo de TI
Cdigo: ME1
Nombre del
Monitorear y evaluar el desempeo de TI
Proceso:
Criterios de Informacin que
Recursos de TI
abarcan
Efectividad P Personas X
Eficiencia P Aplicaciones X
Confidencialidad S Informacin X
Integridad S Infraestructura X
Disponibilidad S
Cumplimiento S
Confiabilidad S
Requerimientos del Negocio que satisface
Transparencia y entendimiento de los costos, beneficios, estrategia, polticas y
niveles de servicio de TI de acuerdo con los requisitos de gobierno
Declaracin de Controles que lo hacen posible
Cotejar y traducir los reportes de desempeo de proceso a reportes gerenciales
y Comparar el desempeo contra las metas acordadas e iniciar las medidas
correctivas necesarias
Definicin de Control que se toman en consideracin:
Satisfaccin de la gerencia y de la entidad de gobierno con los reportes de
desempeo
Nmero de acciones de mejoramiento impulsadas por las actividades de
monitoreo
Porcentaje de procesos crticos monitoreados

Objetivos de control de bajo nivel

ME1.1 Enfoque del Monitoreo
ME1.2 Definicin y recoleccin de datos de monitoreo
ME1.3 Mtodo de monitoreo
ME1.4 Evaluacin del desempeo
ME1.5 Reportes al consejo directivo y a ejecutivos
ME1.6 Acciones correctivas
 ME2 Monitorear y evaluar el control interno
Cdigo: ME2
Nombre del
Monitorear y evaluar el control interno
Proceso:
Criterios de Informacin que
Recursos de TI
abarcan
Efectividad P Personas X
Eficiencia P Aplicaciones X
Confidencialidad S Informacin X
Integridad S Infraestructura X
Disponibilidad S
Cumplimiento S
Confiabilidad S
Requerimientos del Negocio que satisface
Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos
relacionados con TI
Declaracin de Controles que lo hacen posible
La definicin de un sistema de controles internos integrados en el marco de
trabajo de los procesos de TI, Monitorear y reportar la efectividad de los
controles internos sobre TI y Reportar las excepciones de control a la gerencia
para tomar acciones
Definicin de Control que se toman en consideracin:
Nmero de brechas importantes del control interno
Nmero de iniciativas para la mejora del control
Nmero y cubrimiento de auto evaluaciones de control

Objetivos de control de bajo nivel

ME2.1 Monitorear el marco de trabajo de control interno
ME2.2 Revisiones de Auditora
ME2.3 Excepciones de control
ME2.4 Auto-evaluacin de control
ME2.5 Aseguramiento del control interno
ME2.6 Control interno para terceros
ME2.7 Acciones correctivas
 ME3 Garantizar el cumplimiento regulatorio
Cdigo: ME3
Nombre del
Garantizar el cumplimiento regulatorio
Proceso:
Criterios de Informacin que
Recursos de TI
abarcan
Efectividad Personas X
Eficiencia Aplicaciones X
Confidencialidad Informacin X
Integridad Infraestructura X
Disponibilidad
Cumplimiento P
Confiabilidad S
Requerimientos del Negocio que satisface
cumplir las leyes y regulaciones
Declaracin de Controles que lo hacen posible
La identificacin de los requisitos legales y regulatorios relacionados con la TI, La
evaluacin del impacto de los requisitos regulatorios y El monitoreo y reporte
del cumplimiento de los requisitos regulatorios

Definicin de Control que se toman en consideracin:

El costo del no cumplimiento de TI, incluyendo arreglos y multas
Tiempo promedio de demora entre la identificacin de los problemas
externos de cumplimiento y su resolucin
Frecuencia de revisiones de cumplimiento

Objetivos de control de bajo nivel

ME3.1 Identificar las leyes y regulaciones con impacto potencial sobre TI
ME3.2 Optimizar la respuesta a requerimientos regulatorios
ME3.3 Evaluacin del cumplimiento con requerimientos regulatorios
ME3.4 Aseguramiento positivo del cumplimiento
ME3.5 Reportes integrados.
 ME4 Proporcionar gobierno de TI
Cdigo: ME4
Nombre del
Proporcionar gobierno de TI
Proceso:
Criterios de Informacin que
Recursos de TI
abarcan
Efectividad P Personas X
Eficiencia P Aplicaciones X
Confidencialida
S Informacin
d X
Integridad S Infraestructura X
Disponibilidad S
Cumplimiento S
Confiabilidad S
Requerimientos del Negocio que satisface
la integracin de un gobierno de TI con objetivos de gobierno corporativo y el
cumplimiento con las leyes y regulaciones
Declaracin de Controles que lo hacen posible
El establecimiento de un marco de trabajo para el gobierno de TI, integrado al
gobierno corporativo y La obtencin de aseguramiento independientes sobre
el estatus del gobierno de TI
Definicin de Control que se toman en consideracin:
La frecuencia de informes del consejo directivo sobre TI a los
interesados (incluyendo el nivel de madurez)
La frecuencia de los reportes de TI hacia el consejo directivo
(incluyendo el nivel de madurez)
Frecuencia de revisiones independientes del cumplimiento de TI

Objetivos de control de bajo nivel

ME4.1 Establecer un marco de trabajo de gobierno para TI
ME4.2 Alineamiento estratgico
ME4.3 Entrega de valor
ME4.4 Administracin de recursos
ME4.5 Administracin de riesgos.
ME4.6 Medicin del desempeo.
ME4.7 Aseguramiento independiente.
CRITERIOS DE INFORMACION Y RECURSOS DE TI

Fuente: COBIT 4.1

Anlisis de
Madurez y
Riesgos
 ANALISIS DE LA RIESGOS

Para llenar la tabla Resumen de los riesgos, debemos realizar un previo anlisis de los mismos, para esto podemos tomar
como referencia la siguiente tabla denominada Determinacin de los Riesgos pero teniendo en cuenta que es simplemente
una plantilla y no siempre son aplicables a la empresa.

Determinacin de los riesgos

VALORES PARA RESPUESTAS Y RIESGOS

Respuestas Riesgos
Detall Val Deta Valor
e or lle P = (Suma de Preguntas)/(Nro.
Preguntas)
SI 1 B P<3
PARCI 3 M 3>=P<7
AL
NO 7 A P>=7

Dominio: Monitorear y Evaluar

Respuestas
Resulta
Proceso de TI Preguntas N PARCIA
SI do
O L
ME1 Monitorear y evaluar el Se efectan reportes de desempeo? X M
desempeo de TI Se compara regularmente el desempeo contra las metas acordadas en la X
empresa?
 Se toman las medidas correctivas necesarias ante una falencia del desempeo? X
Se ha establecido un marco de trabajo de monitoreo general? X
ME1.1 Enfoque del monitoreo Se ha defino el alcance, la metodologa y el proceso a seguir para monitorear la B
x
contribucin de TI dentro de la empresa?
Se ha definido objetivos, mediciones, metas y comparaciones de desempeo y
estas se encuentren acordadas formalmente con el negocio y otros interesados
relevantes?
Definicin y recoleccin
ME1.2 Se ha establecido dentro de la empresa indicadores de desempeo que midan la
de datos de monitoreo
contribucin al negocio, el desempeo, riesgos, cumplimiento de las regulaciones,
satisfaccin del usuario interno y externo, procesos clave de TI y actividades
orientadas a futuro?
Se garantiza que el proceso de monitoreo implante un mtodo que brinde una
ME1.3 Mtodo de monitoreo visin precisa y desde todos los ngulos del desempeo de TI adaptable al sistema
de monitoreo de la empresa?
Se compara de forma peridica el desempeo contra las metas?
Evaluacin del
ME1.4 Se realiza el anlisis respectivo de la causa raz de los problemas de desempeo e
desempeo
se inician las medidas correctivas para resolver las causas subyacentes?
Se proporcionan reportes administrativos para ser revisados por la alta direccin
sobre el avance de la organizacin hacia las metas identificadas?
Los reportes de estatus incluyen el grado en el que se han alcanzado los objetivos
Reportes al consejo
ME1.5 planeados, los entregables obtenidos, las metas de desempeo alcanzadas y los
directivo y a ejecutivos
riesgos mitigados?
Durante la revisin, se identifica cualquier desviacin respecto al desempeo
esperado y se inician y reportan las medidas administrativas adecuadas?
Se identifican e inician medidas correctivas basadas en el monitoreo del
desempeo, evaluacin y reportes?
ME1.6 Acciones correctivas
En la identificacin se incluye el seguimiento de todo el monitoreo, de los reportes
y de las evaluaciones?
ME2 Monitorear y evaluar el Se monitorea y reporta la efectividad de los controles internos sobre TI?
control interno Se Reportan las excepciones de control a la gerencia para tomar acciones?
Se han iniciativas para la mejora del control?
 Existe procesos de auto-evaluaciones de control?
Se monitorea de forma continua el ambiente de control y el marco de control de
Monitorear el marco de TI?
ME2.1 trabajo de control Se realiza la evaluacin usando mejores prcticas de la industria?
interno Utiliza benchmarking para mejorar el ambiente y el marco de trabajo de control
de TI?
Se monitorea y reporta la efectividad de los controles internos sobre TI por medio
ME2.2 Revisiones de auditora
de revisiones de auditora?
Se registra la informacin referente a todas las excepciones de control
garantizando se conduzca al anlisis de las causas subyacentes y a la toma de
acciones correctivas?
ME2.3 Excepciones de control La gerencia analiza las excepciones, decidiendo cuales se deberan comunicar al
individuo responsable de la funcin y cules deberan ser escaladas?
La gerencia informa a las partes afectadas sobre la excepcin?
Se evala la completitud y efectividad de los controles internos de la
Auto-evaluacin de
ME2.4 administracin de los procesos, polticas y contratos de T a travs de un programa
control
continuo de auto-evaluacin?
Se obtiene aseguramiento adicional de la completitud y efectividad de los
controles internos por medio de revisiones de terceros cuando este es necesario?
Aseguramiento del Se realizan revisiones por la funcin de cumplimiento corporativo o, a solicitud de
ME2.5
control interno la gerencia, por auditora interna o por auditores y consultores externos o por
organismos de certificacin?
Se verifica las aptitudes de los individuos que realizan la auditoria?
Se determina el estado de los controles internos de cada proveedor externo de
servicios?
Control interno para Se puede confirmar que los proveedores externos de servicios cumplen con los
ME2.6
terceros requerimientos legales y regulatorios y con las obligaciones contractuales?
El control interno es provisto por una auditora externa o se obtiene de una
revisin por parte de auditora interna y por los resultados de otras auditorias?
Se ha identificado e iniciado medidas correctivas basadas en las evaluaciones y
ME2.7 Acciones correctivas
en los reportes de control?
 Se mide el costo del no cumplimiento de TI, incluyendo arreglos y multas?
Se tiene un promedio del tiempo de demora entre la identificacin de los
problemas externos de cumplimiento y su resolucin?
Garantizar el
Con que frecuencia se realizan revisiones de cumplimiento?
ME3 cumplimiento
Se han identificado los requisitos legales y regulatorios relacionados con la TI?
regulatorio
Existe evaluacin del impacto de los requisitos regulatorios?
Se monitorea y reporta efectivamente el cumplimiento de los requisitos
regulatorios?
Se ha definido e implantado un proceso que garantice la identificacin oportuna
de requerimientos locales e internacionales legales, contractuales, de polticas y
Identificar las leyes y regulatorios, relacionados con la informacin, con la prestacin de servicios de
regulaciones con informacin y con la funcin, procesos e infraestructura de TI?
ME3.1
impacto potencial Se toman en cuenta las leyes y reglamentos de comercio electrnico, flujo de
sobre TI datos, privacidad, controles internos, reportes financieros, reglamentos especficos
de la industria, propiedad intelectual y derechos de autor, adems de salud y
seguridad?
Optimizar la respuesta
Se revisan y optimizan las polticas, estndares y procedimientos de TI
ME3.2 a requerimientos
garantizando que los requisitos legales y regulatorios se cubran de forma eficiente?
regulatorios
Evaluacin del Se evala de forma eficiente el cumplimiento de polticas, estndares y
cumplimiento con procedimientos de TI, incluyendo los requerimientos legales y regulatorios, con
ME3.3
requerimientos base en la supervisin del gobierno de la gerencia de TI y del negocio y la
regulatorios operacin de los controles internos?
Se ha definido e implantado procedimientos que permitan obtener y reportar el
aseguramiento del cumplimiento y, donde sea necesario, tomar medidas
Aseguramiento positivo
ME3.4 oportunas para resolver cualquier brecha de cumplimiento?
del cumplimiento
Se ha integrado los reportes de avance y estado del cumplimiento de TI con
salidas similares provenientes de otras funciones de negocio?
Se integra los reportes de TI sobre cumplimiento regulatorio con las salidas
ME3.5 Reportes integrados
similares provenientes de otras funciones del negocio?
ME4 Proporcionar gobierno Se ha establecido un marco de trabajo para el gobierno de TI, que integre el
 gobierno corporativo y La obtencin de aseguramiento independientes sobre el
estatus del gobierno de TI?
Se realiza con frecuencia informes del consejo directivo sobre TI a los interesados
de TI (incluyendo el nivel de madurez)?
Se realiza con frecuencia reportes de TI hacia el consejo directivo (incluyendo el
nivel de madurez)?
Se realiza con frecuencia revisiones independientes del cumplimiento de TI?
Se trabaja con el consejo directivo con el cual se define y establece un marco de
trabajo para el gobierno de TI, que incluya liderazgo, procesos, roles y
responsabilidades, requerimientos de informacin, y estructuras organizacionales
garantizando que los programas de inversin habilitados por TI de la empresa
ofrezcan y estn alineados con las estrategias y objetivos empresariales?
El marco de trabajo proporciona vnculos claros entre la estrategia empresarial, el
Establecer un marco
portafolio de programas de inversiones habilitadas por TI que ejecutan la
ME4.1 de trabajo de
estrategia, los programas de inversin individual y los proyectos de negocio y de TI
gobierno para TI que forman los programas?
El marco de trabajo define una rendicin de cuentas y prcticas incontrovertibles
para evitar fallas de control interno y de supervisin?
El marco de trabajo es consistente con el ambiente completo de control
empresarial y con los principios de control generalmente aceptados basndose
en el proceso y en el marco de control de TI?
Se facilita el entendimiento del consejo directivo y de los ejecutivos sobre
temas estratgicos de TI?
Se garantiza un entendimiento compartido entre el negocio y la funcin de TI
sobre la contribucin potencial de TI a la estrategia del negocio?
ME4.2 Alineamiento estratgico Existe un entendimiento claro de que el valor de TI slo se obtiene cuando las
inversiones habilitadas con TI se administran como un portafolio de programas
que incluya el alcance completo de los cambios que el negocio debe realizar
para optimizar el valor proveniente de las capacidades que tiene TI para lograr
la estrategia?
 Se trabaja con el consejo directivo definiendo e implantando organismos de
gobierno, que brindan una orientacin estratgica a la gerencia respecto a TI, y
as garanticen que tanto la estrategia como los objetivos se distribuyan en
cascada hacia las unidades de negocio y hacia las unidades de TI y que se
desarrolle certidumbre y confianza entre el negocio y T?
Se facilita la alineacin de TI con el negocio en lo referente a estrategia y
operaciones, fomentando la corresponsabilidad entre el negocio y TI en la toma
de decisiones estratgicas y en la obtencin de los beneficios provenientes de
las inversiones habilitadas con TI?
Administrar los programas de inversin habilitados con TI, as como otros
activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible
para apoyar la estrategia y los objetivos empresariales.
Los resultados de negocio esperados de las inversiones habilitadas por TI y el
alcance completo del esfuerzo requerido para lograr esos resultados estn bien
entendidos?
ME4.3 Entrega de valor Se Implanta un enfoque disciplinado hacia la administracin por portafolio,
programa y proyecto, enfatizando que el negocio asume la propiedad de todas
las inversiones habilitadas con TI y que TI garantiza la optimizacin de los
costos por la prestacin de los servicios y capacidades de TI?
Se asegura que las inversiones en tecnologa estn estandarizadas al mayor
grado posible evitando el aumento en costo y complejidad de una proliferacin
de soluciones tcnicas?
ME4.4 Administracin de Se optimiza la inversin, uso y asignacin de los activos de TI por medio de
recursos evaluaciones peridicas, garantizando que TI cuente con recursos suficientes,
competentes y capaces para ejecutar los objetivos estratgicos actuales y
futuros y seguir el ritmo de los requerimientos del negocio?
En la direccin se implanta polticas claras, consistentes y reforzadas sobre
recursos humanos y polticas de sustitucin que garanticen que se satisfagan
los requerimientos de recursos de manera efectiva adaptndose a las polticas
 y estndares de la arquitectura?

Se evala peridicamente la infraestructura de TI para asegurar que est

estandarizada siempre que sea posible y que exista la interoperabilidad segn
sea requiera?
Se trabaja en conjunto con el consejo directivo definiendo el nivel de riesgo
de TI aceptable por la empresa?
Se ha integrado las responsabilidades de administracin de riesgos en la
organizacin, asegurando que tanto el negocio como TI evalen y reporten
peridicamente los riesgos asociados con TI y su impacto en el negocio?
ME4.5 Administracin de riesgos
Se garantiza que la gerencia de TI siga la exposicin de los riesgos, poniendo
especial atencin a las fallas y debilidades de control interno y de supervisin,
as como su impacto actual y potencial en el negocio?
La posicin de riesgo empresarial en TI es transparente para todos los
interesados?
Se proporcionan informes sobre el desempeo del portafolio de los programas
de TI al consejo directivo y a los ejecutivos de manera oportuna y precisa?
En los informes administrativos que se entregan a la alta direccin para su
revisin se incluye el avance de la empresa hacia metas identificadas?
Los reportes de estatus deben incluir el grado al cual se han logrado los
ME4.6 Medicin del desempeo objetivos planeados, entregables obtenidos, metas de desempeo alcanzadas
y los riesgos mitigados.
Se integra los informes con salidas similares de otras funciones del negocio?
Las mediciones de desempeo son aprobadas por los interesados clave?
Despus de la revisin, se inician y controlan las acciones administrativas
apropiadas?
ME4.7 Aseguramiento Se garantiza que la organizacin establezca y mantenga una funcin
independiente competente y que cuente con el personal adecuado y/o busque servicios de
aseguramiento externo proporcionando al consejo directivo aseguramiento
 independiente y oportuno sobre el cumplimiento que tiene TI respecto a sus
polticas, estndares y procedimientos, as como con las prcticas
generalmente aceptadas?

Colores utilizados para cada dominio

Dominio General a analizar
Subdominio a analizar
Dominio General no requiere anlisis

Resumen de los riesgos

Importancia Dominio: Monitorear y Evaluar Riesgo Control de Fuentes

No Documentado
Algo importante
Muy importante

No importante

Documentado
Medio

Bajo
Alto
Proceso de TI

x ME1 Monitorear y evaluar el desempeo de TI x x

ME1.1 Enfoque del monitoreo
ME1.2 Definicin y recoleccin de datos de monitoreo
ME1.3 Mtodo de monitoreo
ME1.4 Evaluacin del desempeo
ME1.5 Reportes al consejo directivo y a ejecutivos
ME1.6 Acciones correctivas
x ME2 Monitorear y evaluar el control interno x x
ME2.1 Monitorear el marco de trabajo de control interno
ME2.2 Revisiones de auditora
ME2.3 Excepciones de control
 ME2.4 Auto-evaluacin de control
ME2.5 Aseguramiento del control interno
ME2.6 Control interno para terceros
ME2.7 Acciones correctivas
x ME3 Garantizar el cumplimiento regulatorio x
Identificar las leyes y regulaciones con impacto
ME3.1
potencial sobre TI
Optimizar la respuesta a requerimientos
ME3.2
regulatorios
Evaluacin del cumplimiento con requerimientos
ME3.3
regulatorios
ME3.4 Aseguramiento positivo del cumplimiento

ME3.5 Reportes integrados

x ME4 Proporcionar gobierno de TI x
ME4.1 Establecer un marco de trabajo de gobierno para
TI
ME4.2 Alineamiento estratgico
ME4.3 Entrega de valor
ME4.4 Administracin de recursos
ME4.5 Administracin de riesgos
ME4.6 Medicin del desempeo
ME4.7 Aseguramiento independiente
 Matriz de investigacin del campo critico.
Se detalla y analiza cada uno de los riesgos encontrados dentro de cada proceso a travs de la siguiente tabla

OBJETIVOS DE CONTROL DETALLADOS INSTRUMENTOS DE

CONTROLES POR DOCUMENTACIN DE
Prueba del Control PREGUNTAS BASICAS INVESTIGACION DE
VERIFICAR REFERENCIA
Nombre Descripcin CAMPO
Educar a los ejecutivos sobre las 1) Plan de capacitacin al 1) Anexo A.1: Hoja Plan de capacitaciones. 1) Cada proyecto cuenta con Cuestionario y entrevista.
capacidades tecnolgicas actuales y usuario sobre tecnologas de de Evaluacin PO1 Plan estratgico de negocio. una justificacin relacionada
sobre el rumbo futuro, sobre las TI Plan de TI con el plan estratgico y
oportunidades que ofrece TI y, sobre 2) Plan estratgico TI operativo de negocios de la
qu debe hacer el negocio para alineado con plan estratgico empresa?
ME 2.4 Auto-evaluacin capitalizar esas oportunidades. de negocio 2) Conoce la importancia de
de Control Asegurarse de que el rumbo del TI para el negocio y su
negocio al cual est alineado la TI est crecimiento?
bien entendido. Las estrategias de 3) A futuro TI garantiza
negocio y de TI deben estar integradas,
relacionando de manera
 RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS
DE INFORMACIN
Se busca el porcentaje segn el impacto que tiene cada actividad dentro de la
empresa en la Tabla PROMEDIO DE IMPACTOS POR RIESGO y se analiza si es
primario o secundario.

CUADRO DE INTERPRETACION DE LOS RIESGOS DE LOS PROCESOS

CALIFICACIN
IMPAC
Secund Prima
TO
ario rio
0.15 0.50 Bajo
0.51 0.75 Medio
0.76 0.95 Alto
Fuente: COSO

Modelo de Madurez de los Proceso

Las tablas de los niveles de madurez se encuentran ms adelante del documento

Calificacin obtenida de acuerdo a los riesgos

PROMEDIO DE IMPACTOS SEGN NIVEL DE MADUREZ

Estos promedios se realizan eligiendo un valor promedio de acuerdo al CUADRO DE
INTERPRETACION DE LOS RIESGOS DE LOS PROCESOS para el nivel 1 y de acuerdo al
nivel alcanzado ir multiplicando.
CALIFICACIN
NIVE
Secunda Primar
L
rio io
0.00 0.00 0
0.61 0.83 1
1.23 1.69 2
1.86 2.55 3
2.49 3.41 4
3.11 4.26 5

ENCOTRANDO TOTAL REAL Y TOTAL IDEAL

TOTAL REAL Y TOTAL IDEAL
Total real = impacto*Nivel de
madurez real
Total ideal = impacto*Nivel de
madurez ideal
 CRITERIOS DE
RECURSOS DE T
INFORMACION
DOMINIO

PROCESOS

D CONFIDENCIALIDA

DISPONIBILIDAD

INSTALACIONES
CUMPLIMIENTO
CONFIABLIDAD
EFECTIVIDAD

TECNOLOGIA
APLICACION
NTEGRIDAD
EFICIENCIA

PERSONAL
0.0 0.0 0.0 0.0 0.0 0.0 0.0
ME1 Monitorear y Evaluar el Desempeo de TI 0 0 0 0 0 0 0
x x x x
0.0 0.0 0.0 0.0 0.0 0.0 0.0
Total real 0 0 0 0 0 0 0
0.0 0.0 0.0 0.0 0.0 0.0 0.0
Total ideal 0 0 0 0 0 0 0
ME2 Monitorear y Evaluar el Control Interno x x x x
0.0 0.0 0.0 0.0 0.0 0.0 0.0
Total real
MONITOREAR Y EVALUAR

0 0 0 0 0 0 0
Total ideal 0.0 0.0 0.0 0.0 0.0 0.0 0.0
0 0 0 0 0 0 0
ME2 Monitorear y Evaluar el Control Interno x x x x
0.0 0.0 0.0 0.0 0.0 0.0 0.0
Total real 0 0 0 0 0 0 0
Total ideal 0.0 0.0 0.0 0.0 0.0 0.0 0.0
0 0 0 0 0 0 0
0.8 0.6
ME3 Garantizar el cumplimiento regulatorio x x
3 1
0.0 0.0 0.0 0.0 0.0 0.8 0.6
Total real 0 0 0 0 0 3 1
Total ideal 0.0 0.0 0.0 0.0 0.0 4.1 3.0
0 0 0 0 0 5 5
ME4 Proporcionar el Gobierno de TI x x x
0.0 0.0 0.0 0.0 0.0 0.0 0.0
Total real 0 0 0 0 0 0 0
Total ideal 0.0 0.0 0.0 0.0 0.0 0.0 0.0
0 0 0 0 0 0 0

Resumen de la calificacin obtenida de acuerdo a los

riesgos
CRITERIOS DE INFORMACION
 D CONFIDENCIALIDA

DISPONIBILIDAD

CUMPLIMIENTO

CONFIABLIDAD
EFECTIVIDAD

NTEGRIDAD
EFICIENCIA

45. 48. 7.6 11. 9.4 18. 20.

Total real(Total real) 04 50 3 53 6 20 44
Total ideal(Total Ideal) 94. 97. 19. 32. 28. 35. 40.
30 80 55 90 70 05 10
Porcentaje Alcanzado (Total real * 100/ 47. 49. 39. 35. 32. 51. 50. 43.9
Total ideal) 76 59 03 05 96 93 97 0
 Resultados sobre el impacto en los Criterios de
Informacin
IMPACTO SOBRE LOS CRITERIOS DE INFORMACIN
PORCENTAJE
CRITERIOS DE LA (100%)
OBSERVACIONES
INFORMACIN Alcanza Dfici
do t
El objetivo es alcanzar el 100%, para
esto la informacin en DATA CENTER
52.24
Efectividad 47.76% E.I.R.L debe ser entregada de forma
%
oportuna, correcta, consistente y
utilizable.
El objetivo es alcanzar el 100%, para
50.41
Eficiencia 49.59% esto la informacin debe ser
%
generada optimizando los recursos.
El objetivo es alcanzar el 100%, para
60.95 lo cual se debe proteger la
Confidencialidad 39.03%
% informacin sensitiva contra
revelacin no autorizada.
El objetivo es alcanzar el 100%, para
64.95
Integridad 35.05% lo cual la informacin debe ser
%
precisa, completa y valida.
El objetivo es alcanzar el 100%, para
la cual la informacin debe estar
67.04
Disponibilidad 32.96% disponible cuando esta se requiera
%
por parte de las reas del negocio en
cualquier momento.
El objetivo es alcanzar el 100%, para
lo cual se debe respetar las leyes,
48.04 reglamentos y acuerdos
Cumplimiento 51.93%
% contractuales a los que esta sujeta el
proceso del negocio, como polticas
internas.
El objetivo es alcanzar el 100%, para
lo cual se debe proporcionar la
49.03
Confiabilidad 50.97% informacin apropiada, con el fin de
%
que la Gerencia General administre
la entidad.