Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditori As I Stem As
Auditori As I Stem As
com
ndice
1. Introduccin
2. COBIT
3. Planificacin y Organizacin
4. Adquisicin e implementacin
5. Prestacin y Soporte
6. Monitoreo
7. Aplicacin de las Normas COBIT
8. Apndice I
9. Apndice II
1. Introduccin
El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y comprensible.
Para ello, adems de realizar un desarrollo terico de las mismas, incluimos un anlisis de la situacin
actual del Departamento de Recursos Humanos de la organizacin INEXEI SCHOOL, explicamos si sus
procedimientos respetan o no la norma, e indicamos qu debera hacerse para que aplique y cumpla
con un determinado proceso de la norma.
El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las Caractersticas y
Estructura de COBIT y el Relevamiento y Aplicacin de las Normas COBIT en la Escuela. Adems,
incluimos dos Apndices: en el apndice I indicamos los componentes de COBIT como Producto y en el
apndice II incorporamos la lista completa de Dominios, Procesos y Objetivos de Control.
Para Finalizar, adjuntamos con esta monografa un disquette que contiene el Resumen Ejecutivo (2
Edicin) de la norma y las Guas de Auditora de la misma, las cuales pueden ser utilizadas por nuestros
compaeros si desean profundizar ms en el estudio de COBIT, y que en este trabajo son desarrolladas
brevemente para no hacer tediosa la explicacin de la norma y por razones de espacio obvias.
2. COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT
consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia,
los profesionales de control y los auditores.
COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras
personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofa de que los recursos
de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la
informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.
Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos
de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores
Usuarios:
La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los
productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organizacin y determinar el control mnimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus reas.
Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su
responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.
Caractersticas:
Orientado al negocio
Alineado con estndares y regulaciones de facto
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios:
Procesos de TI
Recursos de TI
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los
procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de
recursos relacionados con las TI que deben ser administrados por procesos de TI.
Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes
financieros y Cumplimiento le leyes y regulaciones.
Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe
ser proporcionada en forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma
ms productiva y econmica).
Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones
adecuadas para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est
comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada
Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo
con las expectativas de la empresa.
Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio
y la salvaguarda de los recursos y capacidades asociadas a la misma.
Objetivos del
Negocio
COBIT
Requerimientos de
Informacin
Procesos
M1 al M4
Planeacin y
Organizacin
Recursos de TI
Datos, aplicaciones,
tecnologas,
Recursos Humanos
Adquisiciones e
Implementacin
Procesos
de Ds1 a
Servicios y
Soporte
Procesos de A11
a A16
Recursos de TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de
negocio:
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o
no, grficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos
manuales y sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin
de bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de
informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear,
adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
Procesos de TI
La estructura de COBIT se define a partir de una premisa simple y pragmtica: Los recursos de las
Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de
forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus
objetivos.
COBIT se divide en tres niveles:
Dominios
Procesos
Actividades
Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos estn agrupados en cuatro grandes dominios que se detallan a continuacin junto con sus
procesos y una descripcin general de las actividades de cada uno:
Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los
requerimientos de TI de negocio, para asegurar sus logros futuros.
Su realizacin se concreta a travs un proceso de planeacin estratgica emprendido en intervalos
regulares dando lugar a planes a largo plazo, los que debern ser traducidos peridicamente en planes
operacionales estableciendo metas claras y concretas a corto plazo, teniendo en cuenta:
La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser la responsable
de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas
generales de la organizacin.
El inventario de soluciones tecnolgicas e infraestructura actual, se deber evaluar los sistemas
existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad,
complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte
que reciben los requerimientos del negocio de los sistemas existentes.
Los cambios organizacionales, se deber asegurar que se establezca un proceso para modificar
oportunamente y con precisin el plan a largo plazo de tecnologa de informacin con el fin de
adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de
la TI
Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos
Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas
de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de negocio,
asegurndose que se definan los sistemas apropiados para optimizar la utilizacin de esta informacin,
tomando en consideracin:
La documentacin deber conservar consistencia con las necesidades permitiendo a los
responsables llevar a cabo sus tareas eficiente y oportunamente.
El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organizacin y
deber ser continuamente actualizado.
La propiedad de la informacin y la clasificacin de severidad con el que se establecer un
marco de referencia de clasificacin general relativo a la ubicacin de datos en clases de
informacin.
Objetivo: Asegura el conocimiento y comprensin de los usuarios sobre las aspiraciones del alto nivel
(gerencia), se concreta a travs de polticas establecidas y transmitidas a la comunidad de usuarios,
necesitndose para esto estndares para traducir las opciones estratgicas en reglas de usuario
prcticas y utilizables. Toma en cuenta:
Los cdigo de tica / conducta, el cumplimiento de las reglas de tica, conducta, seguridad y
estndares de control interno deber ser establecido por la Alta Gerencia y promoverse a travs
del ejemplo.
Las directrices tecnolgicas
El cumplimiento, la Gerencia deber tambin asegurar y monitorear la duracin de la
implementacin de sus polticas.
El compromiso con la calidad, la Gerencia de la funcin de servicios de informacin deber
definir, documentar y mantener una filosofa de calidad, debiendo ser comprendidos,
implementados y mantenidos por todos los niveles de la funcin de servicios de informacin.
Las polticas de seguridad y control interno, la alta gerencia deber asegurar que esta poltica de
seguridad y de control interno especifique el propsito y los objetivos, la estructura gerencial, el
alcance dentro de la organizacin, la definicin y asignacin de responsabilidades para su
implementacin a todos los niveles y la definicin de multas y de acciones disciplinarias
asociadas con la falta de cumplimiento de estas polticas.
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as los
requerimientos de negocio, a travs de tcnicas slidas para administracin de personal, tomando en
consideracin:
El reclutamiento y promocin, deber tener como base criterios objetivos, considerando factores
como la educacin, la experiencia y la responsabilidad.
Los requerimientos de calificaciones, el personal deber estar calificado, tomando como base
una educacin, entrenamiento y o experiencia apropiados, segn se requiera
La capacitacin, los programas de educacin y entrenamiento estarn dirigidos a incrementar
los niveles de habilidad tcnica y administrativa del personal.
La evaluacin objetiva y medible del desempeo, se deber asegurar que dichas evaluaciones
sean llevada a cabo regularmente segn los estndares establecidos y las responsabilidades
especficas del puesto. Los empleados debern recibir asesora sobre su desempeo o su
conducta cuando esto sea apropiado.
Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de
servicios de TI
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario
Para ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios y toma en consideracin:
Definicin de requerimientos de informacin para poder aprobar un proyecto de desarrollo.
Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio
establecidos para el desarrollo de un proyecto.
Arquitectura de informacin para tener en consideracin el modelo de datos al definir soluciones
y analizar la factibilidad de las mismas.
Seguridad con relacin de costo-beneficio favorable para controlar que los costos no excedan
los beneficios.
Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos deben
proporcionar la capacidad de proteger datos sensitivos (ej. Identificacin de usuarios contra
divulgacin o mal uso)
Contratacin de terceros con el objeto de adquirir productos con buena calidad y excelente
estado.
Aceptacin de instalaciones y tecnologa a travs del contrato con el Proveedor donde se
acuerda un plan de aceptacin para las instalaciones y tecnologa especifica a ser
proporcionada.
Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas.
Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de
operaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma en
consideracin:
Manuales de procedimientos de usuarios y controles, de manera que los mismos permanezcan
en permanente actualizacin para el mejor desempeo y control de los usuarios.
Manuales de Operaciones y controles, de manera que estn en permanente actualizacin.
Materiales de entrenamiento enfocados al uso del sistema en la prctica diaria.
Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado
Para ello se realiza una migracin de instalacin, conversin y plan de aceptaciones adecuadamente
formalizadas y toma en consideracin:
Capacitacin del personal de acuerdo al plan de entrenamiento definido y los materiales
relacionados.
Conversin / carga de datos, de manera que los elementos necesarios del sistema anterior sean
convertidos al sistema nuevo.
Pruebas especficas (cambios, desempeo, aceptacin final, operacional) con el objeto de
obtener un producto satisfactorio.
Acreditacin de manera que la Gerencia de operaciones y usuaria acepten los resultados de las
pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.
Revisiones post implementacin con el objeto de reportar si el sistema proporciono los
beneficios esperados de la manera mas econmica.
Procesos
Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas,
que cumplan y continen satisfaciendo los requerimientos
Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y
procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la
organizacin y toma en consideracin:
Acuerdos de servicios con terceras partes a travs de contratos entre la organizacin y el
proveedor de la administracin de instalaciones este basado en niveles de procesamiento
requeridos, seguridad, monitoreo y requerimientos de contingencia, as como en otras
estipulaciones segn sea apropiado.
Acuerdos de confidencialidad. Adems, se deber calificar a los terceros y el contrato deber
definirse y acordarse para cada relacin de servicio con un proveedor.
Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los
acuerdos de seguridad identificados, declarados y acordados.
Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del
contrato.
Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de
ella para alcanzar el desempeo deseado.
Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten
acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos y toma
en consideracin:
Requerimientos de disponibilidad y desempeo de los servicios de sistemas de informacin
Monitoreo y reporte de los recursos de tecnologa de informacin
Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para
apoyar el pronstico de los requerimientos de capacidad, confiabilidad de configuracin,
desempeo y disponibilidad.
Administracin de capacidad estableciendo un proceso de planeacin para la revisin del
desempeo y capacidad de hardware con el fin de asegurar que siempre exista una capacidad
Monitoreo
Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en
caso de interrupciones
Para ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan de
continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin:
Planificacin de Severidad
Plan Documentado
Procedimientos Alternativos
Respaldo y Recuperacin
Pruebas y entrenamiento sistemtico y singulares
Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes
de los riesgos y responsabilidades involucrados
Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideracin:
Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y
documentar las necesidades de entrenamiento de todo el personal que haga uso de los
servicios de informacin
Campaas de concientizacin, definiendo los grupos objetivos, identificar y asignar
entrenadores y organizar oportunamente las sesiones de entrenamiento
Tcnicas de concientizacin proporcionando un programa de educacin y entrenamiento que
incluya conducta tica de la funcin de servicios de informacin
Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido
apropiadamente
Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma en
consideracin:
Consultas de usuarios y respuesta a problemas estableciendo un soporte de una funcin de
bur de ayuda
Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las
preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para
atenderlas
Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su solucin, de los
tiempos de respuesta y la identificacin de tendencias
Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la
existencia fsica y proporcionar una base para el sano manejo de cambios
Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su
localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en
consideracin:
Registro de activos estableciendo procedimientos para asegurar que sean registrados
nicamente elementos de configuracin autorizados e identificables en el inventario, al momento
de adquisicin
Administracin de cambios en la configuracin asegurando que los registros de configuracin
reflejen el status real de todos los elementos de la configuracin
Chequeo de software no autorizado revisando peridicamente las computadoras personales de
la organizacin
Controles de almacenamiento de software definiendo un rea de almacenamiento de archivos
para todos los elementos de software vlidos en las fases del ciclo de vida de desarrollo de
sistemas
Ds10 Administracin de Problemas
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas
para prevenir que vuelvan a suceder.
Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los
incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la
manera ms eficiente los problemas identificados. Este sistema de administracin de problemas deber
tambin realizar un seguimiento de las causas a partir de un incidente dado.
Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada,
actualizacin, salida y almacenamiento.
Lo cual se logra a travs de una combinacin efectiva de controles generales y de aplicacin sobre las
operaciones de TI. Para tal fin, la gerencia deber disear formatos de entrada de datos para los
usuarios de manera que se minimicen lo errores y las omisiones durante la creacin de los datos.
Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de manera que
estn completos, sean precisos y se registren apropiadamente. Se debern crear tambin
procedimientos que validen los datos de entrada y corrijan o detecten los datos errneos, como as
tambin procedimientos de validacin para transacciones errneas, de manera que stas no sean
procesadas. Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y
recuperacin de datos, teniendo un registro fsico (discos, disquetes, CDs y cintas magnticas) de todas
las transacciones y datos manejados por la organizacin, albergados tanto dentro como fuera de la
empresa.
La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los datos
almacenados, definiendo e implementando procedimientos para tal fin.
Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra
peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la
instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad fsica.
Ds13 Administracin de la operacin
Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo
regularmente y de una manera ordenada
Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y
completada en cuanto al logro de todas las actividades. Para ello, la gerencia deber establecer y
documentar procedimientos para las operaciones de tecnologa de informacin (incluyendo operaciones
de red), los cuales debern ser revisados peridicamente para garantizar su eficiencia y cumplimiento.
6. Dominio: Monitoreo
Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.
Este es, precisamente, el mbito de este dominio.
Procesos
Objetivo: Incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos.
Este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y
control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos,
como as tambin para trabajar con nuevos proveedores de servicios de tecnologa de informacin.
Luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre la
efectividad de los servicios de tecnologa de informacin y de los proveedores de estos servicios como
as tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnologa
de informacin y de los proveedores de estos servicios.
M4 Proveer Auditoria Independiente
Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores
prcticas de su implementacin, lo que se logra con el uso de auditorias independientes desarrolladas a
intervalos regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin de
auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria. El
auditor deber ser independiente del auditado, esto significa que los auditores no debern estar
relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser
independiente de la propia empresa. Esta auditoria deber respetar la tica y los estndares
profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es decir que
cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoria.
La funcin de auditoria deber proporcionar un reporte que muestre los objetivos de la auditoria, perodo
de cobertura, naturaleza y trabajo de auditoria realizado, como as tambin la organizacin, conclusin y
recomendaciones relacionadas con el trabajo de auditoria llevado a cabo.
Los 34 procesos propuestos se concretan en 32 objetivos de control detallados anteriormente.
Un Control se define como las normas, estndares, procedimientos, usos y costumbres y las
estructuras organizativas, diseadas para proporcionar garanta razonable de que los objetivos
empresariales se alcanzaran y que los eventos no deseados se prevern o se detectaran, y corregirn
Un Objetivo de Control se define como la declaracin del resultado deseado o propuesto que se ha de
alcanzar mediante la aplicacin de procedimientos de control en cualquier actividad de TI
En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:
-Los recursos de las TI
-Los criterios empresariales que deben satisfacer la informacin
-Los procesos de TI
Las tres dimensiones condeptuales de COBIT
7. Aplicacin de las Normas COBIT
A continuacin, analizaremos como se deberan aplicar las Normas COBIT en una Organizacin,
utilizando para ello la Gua de Auditoria presentada en la pagina Web www.isaca.org, la misma indica los
pasos a seguir para auditar cada uno de los procesos de TI de la norma. Este reporte lo confeccionamos
dndole el formato de un informe de auditora:
Informe de Auditoria
Entidad Auditada: ARCO IRIS SCHOOL
o doble)
Incrementar cada ao el nmero de inscriptos para obtener mayor rentabilidad y
ampliar la comunidad educativa.
Transmitir a la comunidad en general el perfil institucional y los beneficios que los
alumnos obtienen por una educacin personalizada.
Departamento de administracin de personal: Comprende todo lo relacionado con el desarrollo
y administracin de polticas y programas que provean una estructura organizativa eficiente,
empleados calificados, tratamiento equitativo, oportunidades de progreso, satisfaccin en el
trabajo y adecuada seguridad de empleo.
Depende de la Gerencia de Administracin.
Polticas y estrategias del Departamento de Administracin de personal
Polticas
Estrategias
Para con el
Personal
Objetivo: perfeccionar al personal con el perfil Institucional
Seleccionar docentes que respondan a los requerimientos del proyecto educativo institucional
Realizar durante la seleccin de personal talleres de capacitacin y evaluacin de inteligencia
emocional y desarrollo de la persona.
Seleccionar docentes con muy buenas referencias
Los docentes de asignaturas especiales (plstica, msica, deportes, etc.) deben tener
experiencias mnimas en mas de una escuela y estar abalados con referencias por escrito
Respetar las decisiones personales de los docentes y no docentes.
Antes de que un personal forme parte de la institucin debe conocer y firmar las Normativas
Institucionales donde se especifican todas las medidas, deberes y derechos de todo el personal
docente y no docente
La direccin general realiza peridicamente evaluaciones del rendimiento de trabajo individual y
grupal mediante entrevistas. (grupales y personales)
Educativas
Objetivo: Lograr una excelencia educativa
Brindar una educacin excelente y personalizada
Confeccionar un PEI (Proy. Educ. Inst.) con los objetivos que cubran las orientaciones Bilinge,
deportiva, ecolgica y artstica.
Realizar peridicamente talleres de capacitacin docente a nivel institucional donde se
promueve la inteligencia emocional y el desarrollo personal.
La Direccin acadmica debe evaluar constantemente el trabajo de los docentes y elevar los
informes a la direccin general.
Funciones Subfunsiones - Tareas:
1-Realizar el reclutamiento: lograr que todos los puestos estn cubiertos por personal
competente que cubran el perfil institucional por un costo razonable.
a)
b)
8. Apndice I
COBIT como Producto, incluye:
4.15 Relaciones
5.0 Manejo de la Inversin en Tecnologa de
Informacin
5.1 Presupuesto Operativo Anual para la
Funcin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo - Beneficio
6.0 Comunicacin de la direccin y aspiraciones
de la gerencia
Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de
Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad
sobre el Cumplimiento de Estndares y
Procedimientos de la Funcin de Servicios de
Informacin
11.5 Metodologa del Ciclo de Vida de
Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de
Desarrollo de Sistemas para Cambios Mayores
a la Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ciclo
de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y
Mantenimiento para la Infraestructura de
Tecnologa
11.10 Relaciones con Terceras Partes como
Implementadores
11.11 Estndares para la Documentacin de
Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del
Sistema
11.16 Evaluacin del Aseguramiento de la
Calidad sobre el Cumplimiento de Estndar de
Desarrollo
11.17 Revisin del Aseguramiento de Calidad
sobre el Logro de los Objetivos de la Funcin
de Servicios de Informacin
11.18 Mtricas de Calidad
11.19 Reportes de Revisiones de
Aseguramiento de la Calidad
1.11 Ergonoma
1.12 Seleccin de Software de Sistema
1.13 Control de Abastecimiento
1.14 Adquisicin de Productos de Software
1.15 Mantenimiento de Software de Terceras
Partes
1.16 Contratos de Programacin de
Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de Software de
Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas Actuales
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de
Requerimientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseo para la Recopilacin de Datos
Fuente
2.7 Definicin y Documentacin de
Requerimientos de Entrada de Datos
2.8 Definicin de Interfases
2.9 Interfases Usuario-Mquina
2.10 Definicin y Documentacin de
Requerimientos de Procesamiento
2.11 Definicin y Documentacin de
Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de
Diseo
2.14 Estipulacin de Integridad de TI en
programas de software de aplicaciones
2.15 Pruebas de Software de Aplicacin
2.16 Materiales de Consulta y Soporte para
Usuario
2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de Arquitectura
de Tecnologa
3.1 Evaluacin de Nuevo Hardware y Software
3.2 Mantenimiento Preventivo para Hardware
3.3 Seguridad del Software del Sistema
3.4 Instalacin del Software del Sistema
3.5 Mantenimiento del Software del Sistema
3.6 Controles para Cambios del Sofware del
Sistema
4.0 Desarrollo y Mantenimiento de
3.2 Plan de Disponibilidad
Procedimientos relacionados con Tecnologa de 3.3 Monitoreo y Reporte
Informacin
3.4 Herramientas de Modelado
4.1 Futuros Requerimientos y Niveles de
3.5 Manejo de Desempeo Proactivo
Servicios Operacionales
3.6 Pronstico de Carga de Trabajo
4.2 Manual de Procedimientos para Usuario
3.7 Administracin de Capacidad de Recursos
4.3 Manual de Operacin
3.8 Disponibilidad de Recursos
4.4 Material de Entrenamiento
3.9 Calendarizacin de recursos
5.0 Instalacin y Acreditacin de Sistemas
4.0 Aseguramiento de Servicio Continuo
5.1 Entrenamiento
4.1 Marco de Referencia de Continuidad de
5.2 Adecuacin del Desempeo del Software Tecnologa de Informacin
de Aplicacin
4.2 Estrategia y Filosofa de Continuidad de
5.3 Conversin
Tecnologa de Informacin
Tecnologa de Informacin
11.26 Archivo
8.1 Bur de Ayuda
11.27 Proteccin de Mensajes Sensitivos
8.2 Registro de Preguntas del Usuario
11.28 Autenticacin e Integridad
8.3 Escalamiento de Preguntas del Cliente
11.29 Integridad de Transacciones Electrnicas
8.4 Monitoreo de Atencin a Clientes
11.30 Integridad Continua de Datos
8.5 Anlisis y Reporte de Tendencias
Almacenados
9.0 Administracin de la Configuracin
12.0 Administracin de Instalaciones
9.1 Registro de la Configuracin
12.1 Seguridad Fsica
9.2 Base de la Configuracin
12.2 Discrecin de las Instalaciones de
9.3 Registro de Estatus
Tecnologa de Informacin
9.4 Control de la Configuracin
12.3 Escolta de Visitantes
9.5 Software no Autorizado
12.4 Salud y Seguridad del Personal
9.6 Almacenamiento de Software
12.5 Proteccin contra Factores Ambientales
10.0 Administracin de Problemas e Incidentes 12.6 Suministro Ininterrumpido de Energa
10.1 Sistema de Administracin de Problemas 13.0 Administracin de Operaciones
10.2 Escalamiento de Problemas
13.1 Manual de procedimientos de Operacin e
10.3 Seguimiento de Problemas y Pistas de
Instrucciones
Auditora
13.2 Documentacin del Proceso de Inicio y de
11.0 Administracin de Datos
Otras Operaciones
11.1 Procedimientos de Preparacin de Datos 13.3 Calendarizacin de Trabajos
11.2 Procedimientos de Autorizacin de
13.4 Salidas de la Calendarizacin de Trabajos
Documentos Fuente
Estndar
11.3 Recopilacin de Datos de Documentos
13.5 Continuidad de Procesamiento
Fuente
13.6 Bitcoras de Operacin
11.4 Manejo de Errores de Documentos Fuente 13.7 Operaciones Remotas
11.5 Retencin de Documentos Fuente
11.6 Procedimientos de Autorizacin de Entrada MONITOREO
de Datos
1.0 Monitoreo del Proceso
11.7 Chequeos de Exactitud, Suficiencia y
1.1 Recoleccin de Datos de Monitoreo
Autorizacin
1.2 Evaluacin de Desempeo
11.8 Manejo de Errores en la Entrada de Datos 1.3 Evaluacin de la Satisfaccin de Clientes
11.9 Integridad de Procesamiento de Datos
1.4 Reportes Gerenciales
11.10 Validacin y Edicin de Procesamiento de 2.0 Evaluar lo adecuado del Control Interno
Datos
2.1 Monitoreo de Control Interno
11.11 Manejo de Error en el Procesamiento de 2.2 Operacin oportuna del Control Interno
Datos
2.3 Reporte sobre el Nivel de Control Interno
11.12 Manejo y Retencin de Salida de Datos 2.4 Seguridad de operacin y aseguramiento
11.13 Distribucin de Salida de Datos
de Control Interno
11.14 Balanceo y Conciliacin de Datos de
3.0 Obtencin de Aseguramiento Independiente
Salida
3.1 Certificacin / Acreditacin Independiente
11.15 Revisin de Salida de Datos y Manejo de de Control y Seguridad de los servicios de TI
Errores
3.2 Certificacin / Acreditacin Independiente
11.16 Provisiones de Seguridad para Reportes de Control y Seguridad de proveedores
de Salida
externos de servicios
11.17 Proteccin de Informacin Sensible
3.3 Evaluacin Independiente de la Efectividad
durante transmisin y transporte
11.18 Proteccin de Informacin Crtica a
de los Servicios de TI
3.4 Evaluacin Independiente de la Efectividad
de proveedores externos de servicios
3.5 Aseguramiento Independiente del
Cumplimiento de leyes y requerimientos
regulatorios y compromisos contractuales
3.6 Aseguramiento Independiente del
Cumplimiento de leyes y requerimientos
regulatorios y compromisos contractuales
3.7 Competencia de la Funcin de
Aseguramiento Independiente
3.8 Participacin Proactiva de Auditora