Informacion sobre la Auditoria

Auditora / Nombre del proyecto

Unidad auditable #
compromiso #
TI 001
2

BCP HOST

Descripcin del proyecto

Este proyecto se esta haciendo para la clase de SASI, en la empresa BCP HOST.

Informacin del Cliente:

Informacin para el cliente (s) Participar en la evaluacin conjunta
Nombre

Titulo

Juan Perez

Jefe TI

otra Informacin
-

Fecha Inicio
Fecha Fin
1-May-15
1-May-15

Auditora Jefe
De Equipo
Bendezu
Supervisor
011-511-1234

Miembros de la Auditora
Bendezu aveunelly, jafeth
Berrospi alfonzo, melissa
Canevaro dulanto, juan
Castro lema, luis
Carrasco sosa, genaro

Descripcin del proyecto

en la evaluacin conjunta

funcionarios Responsables

Telefono

ubicacin

Name

011-511-5678

Lima

Juan Perez

otra Informacin

nsables
Title
Jefe TI

COBIT

OBIT
1. COBIT tiene 4 caractersticas principales; enfocado a negocio, orientado a procesos, basado
en controles y la otra es:

1. Cul es el factor de rendimiento para una TI?

3. Cul control general de requerimiento agrupa mtricas, objetivos y mtodos dentro del
rendimiento de la TI desde el enfoque de supervisin?

4. La arquitectura de empresa para una TI consiste en informacin, procesos de TI,

infraestructura y personal, adems de otro elemento que es:

5. Cul de los siguientes trminos no estn incluidos en la definicin de control?

6. Cul no es un beneficio de Implementar COBIT como marco de trabajo de Gobierno de TI?

7. Qu proceso del COBIT es Manejo de procesos?

8. Cul no es un objetivo de control del proceso PO10 de COBIT?

9. Cul es el factor de rendimiento para el objetivo responder a los requerimientos de

gobierno, de acuerdo a la direccin dentro del proceso PO10 de COBIT?

10. Cul es el factor de rendimiento para el objetivo asegurar satisfaccin mutua con
organizaciones externas dentro del proceso DS2 de COBIT?
11. La tabla de madurez lista las caractersticas sobre como los procesos de TI son
gestionados y describen como evolucionan desde un proceso inexistente a uno optimizado.
Cul de los siguientes no es un atributo de madurez?

12. Cul no es un componente del COBIT?

13. Cul de los siguientes no es parte de la arquitectura de negocio de TI?

14. Los elementos principales de gobierno de TI son: riesgo, control y cual otro?

15. Definido por COBIT, quien es el responsable por el gobierno de TI?

16. Qu proceso del COBIT es: gestionar servicios de terceros?

17. Los objetivos de control de TI proveen una amplia gama de requerimientos de alto nivel a
considerar por el administrador para un efectivo control de procesos de TI. Cul de las
siguientes declaraciones no describe los objetivos de control de las TI's de COBIT?

18. Para lograr una buena organizacin de prcticas de requerimientos de negocio, se

recomienda que COBIT sea usado a que nivel de la organizacin?

19. Qu estndar, marco de negocio, gua o practica no est organizada por el COBIT?

20. Qu impulsa los factores de negocio de TI?

a) Impulsado por mediciones

b) Orientado a resultados
c) Independiente de tecnologas
d) Basado en estndares
a) mtricas de TI
b) Objetivo del proceso
c) Mtrica del proceso
d) Mtrica de la actividad
a) Procesos de metas y objetivos
b) Procesos repetibles
c) Polticas, planes y procedimientos
d) Mejoramiento de procesos de rendimiento
a) Estructuras organizacionales
b) Mtodos
c) Aplicaciones
d) Polticas
a) Polticas
b) Practicas
c) Aplicaciones
d) Estructuras Organizacionales
a) Mejor organizacin, basado en un enfoque de negocio
b) Claras responsabilidades y propiedad, basado en controles
c) Generalmente aceptado por reguladores u organizaciones externas
d) Entendimiento entre todos los inversionistas basado en un lenguaje
comn
a) PO10
b) Al10
c) DS10
d) ME10
a) Programa de marco de gestin
b) Marco de gestin de proyectos
c) Marco de gestin de riesgo de TI
d) Compromiso de los inversionistas

a) Porcentaje de proyectos que cumplen con las expectativas de los

inversionistas (a tiempo, dentro de presupuesto y cumpliendo todos los
requerimientos, medidos por importancia)
b) Porcentaje de proyectos que cumplen con las expectativas de los
inversionistas
c) Porcentaje de proyectos siguiendo los estndares y prcticas de la
gestin de proyecto
d) Porcentaje de inversionistas participando en los proyectos (ndice de
envolvimiento)

a) Nmero de quejas de usuarios por servicios contratados

b) Numero de disputas formales con los proveedores
c) Mayor porcentaje de proveedores sujetos a requisitos claramente
definidos y niveles de servicios
d) Nmero de incidentes significativos del proveedor de incumplimiento
por perodo de tiempo
a) Conciencia y comunicacin
b) Metas, procesos y actividades
c) Herramientas y automatizacin
d) Habilidades y experiencia
a) Dominio
b) Procesos
c) Actividades
d) Funciones
a) Infraestructura
b) Actividades
c) Aplicaciones
d) Personal
a) Conformidad
b) Regulacin
c) Transparencia
d) Valor
a) Clientes y proveedores
b) Inversionistas y accionistas
c) Gestores y lderes de TI
d) Ejecutivos y directivos
a) PO2
b) AI2
c) DS2
d) ME2
a) Definido para usarlo como un modelo de umbral, donde uno no puede
avanzar a un nivel superior, sin antes haber concluido todas las
condiciones de un nivel inferior.
b) Son declaraciones de acciones gerenciales para incrementar el valor o
disminuir riesgos
c) Consisten en polticas, procedimientos, prcticas y estructuras
organizacionales
d) Son designados para proveer garanta razonable de que los objetivos
de negocio sern logrados y los eventos no deseados sern prevenidos o
detectados y corregidos
a) Alto
b) Medio
c) Bajo
d) Todos
a) ISO27000
b) COSO
c) ITIL
d) GAAP

a) Estrategia empresarial
b) Objetivos de TI
c) Arquitectura empresarial para TI
d) Scorecard de TI

Item

Concepto
Razonablemente cubierto
Sustancialmente cubierto
Parcialmente cubierto

Limitadamente Cubierto
No cubierto o poco cubierto

Descripcin

puntaje

Los dominios de Cobit 4.1 estan bastante cubiertos.

5
Los dominios de Cobit 4.1 estan cubiertos en su gran parte.

Los dominios de Cobit 4.1 estan cubiertos moderadamente.

Los dominios de Cobit 4.1 estan poco cubiertos.

Los dominios de Cobit 4.1 estan nada o poco cubiertos.

COBIT IDENTIFICA 34 PROCESOS DENTRO DE ESTOS

CUATRO DOMINIOS.

En l se definen las actividades y objetivos de control para los 34

procesos, as como el proceso general y controles de aplicacin.
Los controles estn diseados para apoyar a los siete criterios de
informacin:

eficacia

eficiencia

Confidencialidad

integridad

disponibilidad

conformidad
confiabilidad

34 PROCESOS DENTRO DE ESTOS

S.

ctividades y objetivos de control para los 34

proceso general y controles de aplicacin.
seados para apoyar a los siete criterios de
La efectividad es la capacidad de lograr un efecto deseado, esperado o
anhelado. En cambio, eficiencia es la capacidad de lograr el efecto en cuestin
con el mnimo de recursos posibles viable.
capacidad de disponer de alguien o de algo para conseguir un efecto
determinado.No debe confundirse con eficacia, que se define como la capacidad
de lograr el efecto que se desea o se espera
Confidencialidad es la propiedad de la informacin, por la que se garantiza que
est accesible nicamente a personal autorizado a acceder a dicha informacin.
El trmino integridad deriva de la palabra de origen latino integrtas o integrtis,
que significa totalidad, virginidad, robustez y buen estado fsico.
El factor de disponibilidad de un equipo o sistema es una medida que nos indica
cunto tiempo est ese equipo o sistema operativo respecto de la duracin total
durante la que se hubiese deseado que funcionase.
Conformidad es el grado hasta el cual los miembros de un grupo social
cambiarn su comportamiento, opiniones y actitudes para encajar con las
opiniones del grupo.
La confianza es la seguridad hacia una persona firme que alguien tiene de otro
individuo o de algo.

Control

P01. Definir el Plan Estrategico de TI

P02. Definir la Arquitectura de la Organizacin

P03. Determinar la direccin Tecnolgica

P03. Determinar la direccin Tecnolgica

P04. Definir procesos, organizacin y relaciones

TI

P05. Administrar la inversin de TI

P06.Comunicar las Aspiraciones y la Direccin d

la Gerencia.

P07. Administrar recursos humanos de TI

P08. Administrar la Calidad.

P09. Evaluar y administrar riesgos de TI

P10. Administrar proyectos

ategico de TI

de la Organizacin

in Tecnolgica

Objetivo de Control

Definicin de un Plan Estratgico de Tecnologa d

Informacin

Tecnologa de Informacin como parte del Plan de

Organizacin a corto y largo plazo

Plan a largo plazo de Tecnologa de Informacin

Plan a largo plazo de Tecnologa de Informacin - Enfo

Estructura

Cambios al Plan a largo plazo de Tecnologa de Inform

Planeacin a corto plazo para la funcin de Servicio

Informacin

Evaluacin de sistemas existentes

Modelo de Arquitectura de Informacin Empresar

Diccionario de Datos Empresarial y Reglas de Sintax

Datos
Esquema de Clasificacin de Datos
Administracin de Integridad

Planeacin de la direccin tecnolgica

Plan de infraestructura de tecnologa

Monitoreo de Tendencias y Regulaciones Futuras

in Tecnolgica

Monitoreo de Tendencias y Regulaciones Futuras

Estndares de Tecnologa

Consejo de Arquitectura de TI

Marco de trabajo de procesos TI

Comit Estratgico de TI

Comit Directivo de TI

Ubicacin Organizacional de la Funcin de TI

Estructura Organizacional

Establecimiento de Roles y Responsabilidades

Responsabilidad de Aseguramiento de Calidad de

acin y relaciones de

Responsabilidad sobre el Riesgo, la Seguridad y e

Cumplimiento

Propiedad de Datos y Sistemas

versin de TI

Propiedad de Datos y Sistemas

Supervisin

Segregacin de Funciones

Personal de TI

Personal Clave de TI

Polticas y Procedimientos para Personal Contrata

Relaciones

Marco de Trabajo para la Administracin Financie

Prioridades Dentro del Presupuesto de TI

Proceso Presupuestal

Administracin de Costos de TI

Administracin de Beneficios

Ambiente de Polticas y de Control

Ambiente de Polticas y de Control

Riesgo Corporativo y Marco de Referencia de Control I

de TI

Administracin de Polticas para TI

Implantacin de Polticas de TI

Comunicacin de los Objetivos y la Direccin de T

Reclutamiento y Retencin del Personal

Competencias del Personal

Asignacin de Roles

Entrenamiento del Personal de TI

humanos de TI
Dependencia Sobre los Individuos

Procedimientos de Investigacin del Personal

Evaluacin del Desempeo del Empleado

Cambios y Terminacin de Trabajo

Cambios y Terminacin de Trabajo

Sistema de Administracin de Calidad

Estndares y Prcticas de Calidad

Estndares de Desarrollo y de Adquisicin

Calidad.
Enfoque en el Cliente de TI

Mejora Continua

Medicin, Monitoreo y Revisin de la Calidad

Marco de Trabajo de Administracin de Riesgos

Establecimiento del Contexto del Riesgo

Identificacin de Eventos

ar riesgos de TI
Evaluacin de Riesgos de TI

Respuesta a los Riesgos

Mantenimiento y Monitoreo de un Plan de Accin de R

royectos

Mantenimiento y Monitoreo de un Plan de Accin de R

Marco de Trabajo para la Administracin de Program

Marco de Trabajo para la Administracin de Proyec

Enfoque de Administracin de Proyectos

Compromiso de los Interesados

Declaracin de Alcance del Proyecto

Inicio de las Fases del Proyecto

Plan Integrado del Proyecto

Recursos del Proyecto

Administracin de Riesgos del Proyecto

Plan de Calidad del Proyecto

Control de Cambios del Proyecto

Control de Cambios del Proyecto

Planeacin del Proyecto y Mtodos de Aseguramie

Medicin del Desempeo, Reporte y Monitoreo del Pro

Cierre del Proyecto

e Control

atgico de Tecnologa de
acin

como parte del Plan de la

to y largo plazo

nologa de Informacin

a de Informacin - Enfoque y
tura

Pregunta
Cuenta la organizacin con un plan estratgico de tecnologas de
la informacin (PETI)?
La empresa, en su PETI, da a conocer las oportunidades y
debilidades de las tecnologas de informacin?
Los recursos tecnologicos de la organizacin esta alineado con el
PETI?
El PETI tiene en cuenta los avances tecnolgicos como una
ventaja competitiva de la organizacin?
Existe un plan a largo plazo sobre la TI, en el PETI?
Existe una adecuada administracin al plan de largo plazo sobre
la TI?
Cules son los objetivos del Plan a largo plazo de TI, enfoque y
estructura?
Cul es el enfoque del plan a largo plazo de TI ?
Existen cambios al Plan a Largo Plazo de TI ?

de Tecnologa de Informacin

a la funcin de Servicios de
acin

emas existentes

Informacin Empresarial

rial y Reglas de Sintaxis de

os

cacin de Datos

de Integridad

Cules son los cambios al Plan a Largo Plazo de TI ?

Existen un Plan a corto Plazo para la funcion de servicios de TI ?
Cules son los cambios a corto plazo para la funcin de SI ?
Existe algun plan para la evaluacion de los sistemas existentes?
Existe algun plan para la renovacion o cambios de los sistemas
existentes?
Existe un modelo de informacin empresarial que facilite el
desarrollo de aplicaciones y las actividades de soporte a la toma
de decisiones.
Existe un Diccionario de datos
que facilite el manejo de los datos
y la informacin indispensables para la operacin dentro de la
empresa?
Existe un esquema de clasificacin de datos que aplique a toda
la empresa?
Se Revisan los procedimientos que permitan garantizar la
integridad de la informacin dentro de la empresa ?
Existe un plan de adquisicion de hardware y software?

eccin tecnolgica

ura de tecnologa

y Regulaciones Futuras

Con que frecuencia se dan las regulaciones ?

Existe Un plan de infraestructura tecnolgica que este de
acuerdo con los planes estrategicos de la empresa?
Existe un procedimiento para la adquisicion de Infraestructura
tecnolgica?
Existe un plan de monitoreo de tendencias y regulaciones
futuras?

y Regulaciones Futuras

Tecnologa

itectura de TI

de procesos TI

gico de TI

ctivo de TI

al de la Funcin de TI

ganizacional

s y Responsabilidades

amiento de Calidad de TI

Riesgo, la Seguridad y el
miento

tos y Sistemas

Existe un plan de monitoreo de tendencias y regulaciones

futuras?
Estan incluidas las consecuencias de las tendencias en el
desarrollo del plan infraestructura tecnolgicas de TI ?
Se proponen soluciones tecnolgicas consistentes, efectivas y
seguras para toda la empresa?
Existe asesora sobre los productos de la infraestructura y guas
sobre la seleccin de la tecnologa?
Existe el comit de arquitectura de TI que proporcione directrices
sobre la arquitectura y asesora sobre su aplicacion y que
verifique su cumplimiento?
Esta comite toma en cuenta el cumplimiento regulatorio y los
requerimientos de continuidad?
Esta definido el marco de trabajo para ejecutar el plan de
procesos de TI?
Este marco proporciona integracion entre los procesos que son
especificos para TI, admin del portafolio de la empresa, procesos
de negocio y procesos de cambio de negocio?
Esta establecido el comit estratgico de TI a nivel del consejo?
Este comit se maneja de forma adecuada, asesora la direccin
estratgica y revisa las inversiones principales?
Este comit esta compuesto por la gerencia ejecutiva de la
empresa?
Este comit da seguimiento al status de los proyectos y resuelve
los conflictos de recursos?
Esta ubicada la funcin de TI dentro de la estructura
organizacional dentro de la empresa?
La funcin de TI que tan critica es para la estratgia del negocio?
Esta establecida la estructura organizacional de TI interna y
externa que refleje las necesidades del negocio ?
Esta implementado el proceso para revisar la estructura
organizacional?
Esta definido los roles y responsabilidades para el personal de
TI?
Estan definidas las responsabilidades y rendicin de cuentas
para alcanzar las necesidades del negocio?
Estn asignadas las responsabilidades para el desempeo de la
funcin de aseguramiento de calidad (QA)?
Satisfacen, la ubicacin organizacional, las responsabilidades y el
tamao del grupo de QA los requerimientos de la organizacin?
Estn establecidas la propiedad y la responsabilidad de los
riesgos relacionados con TI a un nivel superior apropiado?
Estn asignados los roles crticos para administrar los riesgos de
TI?
Estn establecidos los procedimientos y herramientas que
permitan enfrentar las responsabilidades de propiedad sobre los
datos y sistemas de informacin?

tos y Sistemas

isin

e Funciones

de TI

ave de TI

para Personal Contratado

ones

dministracin Financiera

l Presupuesto de TI

supuestal

e Costos de TI

Los dueos toman decisiones sobre la clasificacin de la

informacin y de los sistemas y sobre como protegerlos?
Estn implementadas las prcticas adecuadas de supervisin
dentro de la funcion de TI?
Esta practicas garntizan que los roles y las responsabilidades se
ejerzan de forma apropiada?
Esta implementada la divisin de roles y responsabilidades que
reduzca la posibilidad de que un solo individuo afecte
negativamente un proceso critico?
La gerencia esta segura que el personal solo realice las tareas
autorizadas, relevantes a sus puestos y posiciones respectivas ?
Se evalan los requerimientos de personal de forma regular?
Cundo se presentan cambios importantes en el ambiente de
negocios, operativo o de TI, se cuenta con un nmero suficiente
de recursos para soportar adecuandamente las metas y objetivos
del negocio?
Esta identificado el personal clave de TI en la organizacin?
Estn identificadas las dependencias en un solo individuo
desempeando una funcin de trabajo crtica?
los consultores y personal contratado para las funciones de TI
cumplen con las polticas organizacionales?
los consultores y personal contratado para las funciones de TI
cumplen con los requerimientos contractuales acordados?
Estn establecidas las estructuras ptimas de enlace,
comunicacin
y coordinacin
dentroentre
y fuera
la funcin
de TI ?
La comunicacin
y coordinacin
el de
consejo
directivo,
ejecutivos, unidades de negocio, usuarios individuales,
proveedores, oficiales de seguridad, gerentes de riesgo, etc son
ptimas?
Existe un marco de trabajo
financiero para administrar las
inversiones ?
Existe el portafolios de inversiones habilitadas por TI?
Esta priorizada la asignacin de recursos a TI, para operaciones,
proyectos y mantenimiento?
La contibucin de TI esta optimizada para el retorno de
programas de inversin y otros servicios y activos de TI , ?
Est establecido el proceso para elaborar y administrar el
presupuesto que refleje las prioridades establecidas en el
portafolio empresarial de programas de inversin en TI?
Este proceso da soporte al desarrollo de un presupuesto general
de TI?
El proceso de administracin de costos compara los costos reales
con los presupuestados?
Se monitorean y reportan los costos ?
Existe el proceso de monitoreo de beneficios?

de Beneficios

cas y de Control

Se actualiza el proceso de monitoreo de beneficios?

Estan definidos los elementos de un ambiente de polticas de
control para TI?

cas y de Control

Referencia de Control Interno

TI

Polticas para TI

Polticas de TI

ivos y la Direccin de TI

ncin del Personal

del Personal

de Roles

l Personal de TI

e los Individuos

stigacin del Personal

peo del Empleado

acin de Trabajo

El ambiente de control se basa en una cultura que apoya la

entrega de valor, mientras administra riesgos significativos,
fomenta el trabajo en equipo, promueve el cumplimiento y la
mejora
contnua,
de forma
adecuada
? el enfoque
Est elaborado
el marco
de trabajo
que
establezca
empresarial general hacia los riesgos?
El ambiente de control y el marco de trabajo de riesgo esta
alineado con la poltica de TI?
Estn elaboradas el conjunto de polticas que apoyen la
estratgia de TI?
La relevancia de esta polticas se confirman y aprueban
regularmente?
Estn implantadas y comunicadas las polticas de TI?
Esta polticas estn includas y son parte integral de las
operaciones empresariales?
Estn seguros que los interesados tienen conocimiento de los
objetivos y la direccin de TI?
Estn seguros que los interesados tienen conciencia y
entendimiento de los objetivos y la direccin de TI?
Los procesos de reclutamiento del personal de TI estn de
acuerdo a las politicas y procedimientos generales de la
organizacin?
La gerencia implementa
procesos para garantizar que la
organizacin cuente con una fuerza de trabajo posicionada de
forma
apropiada?
Se verifica de forma
peridica
que el personal tenga las
habilidades para cumplir sus roles con base en su educacin,
entrenamiento y/o experiencia?
Estn definidos los requerimientos esenciales de habilidades
para TI?
Est definido el marco de trabajo para los roles,
responsabilidades y compensacin de personal ?
El nivel de supervisin esta de acuerdo con la sensibilidad del
puesto y el grado de responsabilidades asignadas?
Se proporciona a los empleados la orientacin necesaria al
momento de la contratacin y entrenamiento continuo para
Se proporcionaconservar
a los empleados
la orientacin necesaria al
su conocimiento?
momento de la contratacin y entrenamiento sobre los controles
internos y conciencia de la seguridad, al nivel requerido para
alcanzarlas
lasdependencias
metas organizacionales?
Estn minimizadas
crticas sobre individuos
clave por medio de la captura del conocimiento?
Se comparte el conocimiento, planeacin de sucesin y
respaldos de personal?
Se efectan las verificaciones de antecedentes en el proceso de
reclutamiento de TI?
Estas verificaciones se efectan con frecuencia ?
Las evaluaciones de desempeo se realizan periodicamente ?
Reciben los empleados adiestramiento para su desempeo y
conducta, segn sea necesario?
Se toman medidad expeditas a los cambios en los puestos?

acin de Trabajo

tracin de Calidad

ticas de Calidad

ollo y de Adquisicin

Cliente de TI

Se efecta la transferencia del conocimiento, reasignacin de

responsabilidades y se eliminan los privilegios de acceso, de tal
modo que los riesgos se minimicen y se garantice la continuidad
Esta establecido el QMSde
que
proporcine un enfoque estndar,
la funcin?
formal y continuo, con respecto a la adm de la calidad y que este
alineado con los requerimientos del negocio?
El QMS tiene definido la estructura organizacional para la
administracion de la calidad?
Estn identificados los estandares, procedimientos y prcticas
para los procesos claves de TI ?
Se usa las buenas practicas de la Industria como referencia al
mejorar
y adaptar
las practicas
de calidad
de la
organizacin?
Se
adoptan
los standares
para todo
desarrollo
y adquisicin
que
siga el ciclo de vida, hasta el ultimo entregable e incluir la
aprobacin
entre puntos
con
base
en criterios
de aceptacin
archivos, estndares
declave
diseo
para
esquemas
y diccionario
de
acordados?
datos; estndares para la interfaz de usuario; inter operabilidad;
eficiencia de desempeo de sistemas; escalabilidad; estndares
para desarrollo y pruebas; validacin contra requerimientos;
Est enfocada la administracin de calidad en los clientes?
Estn definidos los roles y responsabilidades respecto a la
resolucin de conflictos entre el usuario/cliente y la organizacin
de TI?
Existe un plan global de mejora contnua?

ontinua

Revisin de la Calidad

ministracin de Riesgos

ontexto del Riesgo

de Eventos

El plan global de mejora continua se actualiza peridicamente?

Se han implementado las mediciones para monitorear el
cumplimiento continuo de QMS?
La medicin, el monitoreo y el registro de la informacin estn
siendo usados por el dueo del proceso para tomar las medidas
correctivas y preventivas apropiadas?
Est establecido el marco de trabajo de administracin de
riesgos?
Este marco esta alineado al marco de trabajo de administracin
de riegos de la organizacin?
El marco de trabajo de evaluacin de riesgos se aplica para
garantizar resultados apropiados?
Est determinado en el contexto interno y externo de cada
evaluacin de riesgos, la meta de la evaluacin y los criterios
contra los cuales se evalan los riesgos?
Estn identificados los eventos con un impacto potencial
negativo sobre las metas o las operaciones de la empresa ?
Se registran los riesgos relevantes en un registro de riesgos?

Riesgos de TI

Se evala de forma recurrente la probabilidad e impacto de

todos los riesgos identificados ?
La probabilidad e impacto asociados a los riesgos inherentes y
residuales, se determinan de forma individual, por categora y con
base
en un de
portafolio
? a riesgos diseado
Se ha desarrollado un
proceso
respuesta

os Riesgos

para asegurar que controles efectivos en costo mitigan la

exposicin en forma contnua?
El proceso de respuesta a riesgos identifica las estrategias tales
como evitar, reducir, compartir o aceptar riesgos ?

un Plan de Accin de Riesgos

Se han priorizado y planificado las actividades de control a todos

los niveles para implementar las respuestas a los riesgos ?

un Plan de Accin de Riesgos

Se tiene la aprobacin para las acciones recomendadas y la

aceptacin de cualquier riesgo residual?
Se mantiene el programa de los proyectos, relacionados con el
portafolio de programas de inversiones facilitadas por TI ?

ministracin de Programas
Se cooridnan la actividades e interdependecias de mltiples
proyectos ?

ministracin de Proyectos

acin de Proyectos

os Interesados

nce del Proyecto

s del Proyecto

del Proyecto

l Proyecto

esgos del Proyecto

del Proyecto

os del Proyecto

Est establecido el marco de trabajo para la administracin de

proyectos que defina el alcance y los lmites de la administracin
de proyectos?
Existen las metodologas a ser adoptadas y aplicadas en cada
proyecto emprendido?
Esta establecido el enfoque de administracin de proyectos que
corresponda al tamao, complejidad y requerimientos regulatorios
de cada
proyecto debe
?
La estructura de gobierno
de proyectos
incluir los roles, las
responsabilidades y la rendicin de cuentas del patrocinador del
proyecto?
Existe elcompromiso y la participacion de los interesados en la
definicin del proyecto?
Existe elcompromiso y la participacion de los interesados en la
ejecucin del proyecto?
Esta documentado la naturaleza y alcance del proyecto para
confirmar y desarrollar, entre los interesados, un entendimiento
comn
del de
alcance
delde
proyecto
Esta declaracin
de debe
aprobar
manera?formal por aprte
de los patrocinadores del programa y del proyecto antes de iniciar
el proyecto?
La aprobacin de la fase inicial se debe de basar en las
decisiones del programa?
La aprobacin de las fases subsiguientes se debe basar en la
revisin y aceptacin de los entregables de la fase previa?
Estestablecido un plan integrado para el proyecto, aprobado y
formal ?
El plan del proyecto se debe mantener a lo largo de la vida del
mismo ?
Estn definidas las responsabilidades, relaciones, autoridades y
criterios de desempeo de los miembros del equipo del
proyecto ?
Se administra la obtencin de productos y servicios requeridos
para cada proyecto?
Estn minimizados o eliminados los riesgos especficos asociados
con los proyectos individuales por medio de un proceso
sistmatico
de planeacin?
Se registran de forma
centralizada
los riesgos afrontados por el
proceso de administracin de proyectos y el producto entregable
del proyecto?
Existe un plan de administracion de calidad que describa el
sistema de calidad del proyecto y cmo ser implantado?
El plan es revisado y acordado de manera formal por todas las
partes interesadas para luego ser incorporado en el plan
integrado del protecto?
Est establecido un control de cambios para cada proyecto?

os del Proyecto

todos de Aseguramiento

rte y Monitoreo del Proyecto

Proyecto

Este plan de control de cambios esta incorporado de manera

apropiada al plan integrado del proyecto?
Estn identificadas las tareas de aseguramiento requeridas para
apoyar la acreditacion de sistemas nuevos o modificados
la planeacin
del proyecto?
Las tareas durante
proporcionan
la seguridad
de que los controles
internos y las caractersticas de seguridad satisfacen los
requerimientos definidos?
Est medido el desempeo del proyecto contra los criterios clave
del proyecto?
Se identificaron las desviaciones con respecto al plan, evaluar su
impacto sobre el proyecto y sobre el programa global ?
Se solicitan en los cierres de pryectos que los interesados del
proyecto hayan proporcionado los resultados y los beneficios
Se cominuca cualquier esperados?
actividad relevante requerida para
alcanzar los resultados planeados del proyecto y los beneficios del
programa?

gico de tecnologas de

as oportunidades y
informacin?

n esta alineado con el

nolgicos como una

nizacin?

a TI, en el PETI?

Respuesta
si cuenrta con un plan estrategico
lo da en mayor medida
si, en gran medida, pero faltan unos puntos
si los tiene
el plan a largo plazo lo maneja la gerecia

n de largo plazo sobre

si
* sirven de gua para la formulacin de
estrategias.
plazo de TI, enfoque y
* sirven de gua para la asignacin de
Identificar los elementos
recursos.a evaluar para los
o plazo de TI ?
diferentes mbitos: servicios tecnolgicos,
utilizadas
Realizar tecnologas
una evaluacin
cuantitativa y
Plazo de TI ?
cualitativa de los diferentes mbitos de
forma individual
Analizar y disear la aportacin a negocio a
go Plazo de TI ?
realizar y el nivel de impacto esperado
Disear la arquitectura empresarial
on de servicios de TI ?
(tecnologas, productos y dependencias).

ra la funcin de SI ?

s sistemas existentes?

mbios de los sistemas

Disear el portfolio de proyectos y servicios.

Disear el modelo de gestin (niveles de
servicio, procesos, tcnicas, mtricas, etc.)

Aspiraciones del plan SI/TI.

El desarrollo del plan est relacionado con la
sarial que facilite el
de soporte a la toma creacin de un plan de transformacin, que
va del
estado
Si lo queremos
resumir
en una frase,
el manejo de los datos
eracin dentro de la
podramos decir que es la herramienta que
Ms ampliamente,
podramos
que
permite
ordenar y priorizar
los decir
esfuerzos
os que aplique a toda concreta las polticas que permiten controlar
la adquisicin, uso y administracin de los
recursos TI
No entrar en cuestiones
generalistas y me
mitan garantizar la
Innovar
al
ayudarlo
de la empresa ?
centrar a identificar
oportunidades para usar tecnologa como
ware y software?
medio para impulsar sus objetivos, como
reducir
los costos
de infraestructura
o
le
ayudamos
a proporcionar
un enfoque
mejorar
la
productividad.
gulaciones ?
integral a la planificacin, entrega, recursos
y rastreo ayudamos a crear
Estrategia y planificacin:
lgica que este de
un mapa estratgico para su inversin en
de la empresa?
Esto incluye la plataformas
administracin de cambios,
optimizaciones de gobernanza,
on de Infraestructura
administracin de beneficios y capacitacin
de personal.
Maximizar el retorno
de sus inversiones
cias y regulaciones
tecnolgicas en productos y servicios

Resultados de la Eva

3
4
3
2
4
5
3
4
5
2
4
3
3
4
3
5
3
1
2
3
4
3
5

Maximizar el retorno de sus inversiones

tecnolgicas en productos y servicios

as tendencias en el
nolgicas de TI ?

si, estan incluidas

ofrecen herramientas y prcticas de
negocios que ayudan a impulsar el retorno
sistentes, efectivas y
esa?
de inversin inmediato y continuo en estas
reas
un mapa estratgico
para su inversin en
nfraestructura y guas
ologa?
plataformas
proporcione directrices prcticas de negocios y de TI correctas para
u aplicacion y que
"trabajar en el plan", ahora que ya "planific
to?
el trabajo".
mantener y validar
la propuesta de valor de
ento regulatorio y los
TI, as como alinear las operaciones de TI
idad?
con las de la empresa.
No cuenta con un marco de trabajo que
ejecutar el plan de
permita ejecutar plan de procesos de TI.

los procesos que son

la empresa, procesos
de negocio?

No cuenta con un marco que proporcione

integracin entre los procesos que son
especifcos o particulares para TI.

TI a nivel del consejo?

si

a, asesora la direccin
s principales?

impulsar los resultados de negocios

mediante el uso de tecnologa.
proporcionar un enfoque integral a la
planificacin,
entrega,
recursos
y rastreo
tableros de control
(balanced
scorecards)
que convierten la estrategia en acciones
para el logro de las metas que se pueden
medir ms all del registro convencional.
si

ncia ejecutiva de la

s proyectos y resuelve
s?

de la estructura
mpresa?

estratgia del negocio?

ional de TI interna y
del negocio ?

visar la estructura

s para el personal de

endicin de cuentas
el negocio?

a el desempeo de la
lidad (QA)?

responsabilidades y el
s de la organizacin?

ponsabilidad de los
uperior apropiado?

ministrar los riesgos de

y herramientas que
e propiedad sobre los
acin?

No
Esta establecida una estructura
organizacional de TI que casi siempre refleja
las necesidades del negocio.
No existe un proceso que revise la estructura
organizacional.
Si se encuentra establecido las
responsabilidades de los roles de TI.

5
2
3
3
4
5
1
1
2
4
3
3
4
2
3
1
5
4

clasificacin de la
omo protegerlos?

uadas de supervisin
TI?

s responsabilidades se
da?
esponsabilidades que
individuo afecte
critico?
solo realice las tareas
siciones respectivas ?

al de forma regular?
es en el ambiente de
un nmero suficiente
las metas y objetivos
en la organizacin?

n un solo individuo
abajo crtica?

a las funciones de TI
zacionales?

a las funciones de TI
ctuales acordados?

timas de enlace,
al de
la funcin
de TI ?
consejo
directivo,
rios individuales,
tes de riesgo, etc son

ara administrar las

abilitadas por TI?

a TI, para operaciones,

nto?

para el retorno de
y activos de TI , ?
ar y administrar el
establecidas en el
e inversin en TI?
n presupuesto general

mpara los costos reales

s?
costos ?

e beneficios?

o de beneficios?

biente de polticas de

ultura que apoya la

esgos significativos,
el cumplimiento y la
ecuada
? el enfoque
stablezca

riesgos?

abajo de riesgo esta

e TI?

cas que apoyen la

firman y aprueban

s polticas de TI?

rte integral de las

es?

conocimiento de los
e TI?

nen conciencia y
direccin de TI?
onal de TI estn de
s generales de la

a garantizar que la
abajo posicionada de

personal tenga las

ase en su educacin,
ncia?
ciales de habilidades

para los roles,

de personal ?

on la sensibilidad del
des asignadas?
ntacin necesaria al
ento continuo para
ntacin
necesaria al
to?
nto sobre los controles
ivel requerido para
onales?
icas
sobre individuos

conocimiento?

in de sucesin y
?

entes en el proceso de

n frecuencia ?

zan periodicamente ?

ara su desempeo y
sario?

bios en los puestos?

nto, reasignacin de
gios de acceso, de tal
rantice la continuidad
un enfoque estndar,
la calidad y que este
del negocio?
anizacional para la
dad?

dimientos y prcticas
e TI ?

a como referencia al
dollo
de la
organizacin?
y adquisicin
que
regable e incluir la
criterios
de aceptacin
emas y diccionario
de

io; inter operabilidad;

alabilidad; estndares
tra requerimientos;
dad en los clientes?

dades respecto a la
ente y la organizacin

a contnua?

aliza peridicamente?

para monitorear el
QMS?
e la informacin estn
ra tomar las medidas
opiadas?
e administracin de

ajo de administracin
in?

esgos se aplica para

iados?
o y externo de cada
uacin y los criterios
s riesgos?
impacto potencial
nes de la empresa ?
registro de riesgos?

bilidad e impacto de
dos ?
riesgos inherentes y
al, por categora y con
?ta a riesgos diseado

n costo mitigan la
nua?
a las estrategias tales
eptar riesgos ?

des de control a todos

stas a los riesgos ?

recomendadas y la
residual?

s, relacionados con el
facilitadas por TI ?

ndecias de mltiples

No se le da mantenimiento a programas de
los proyectos, relacionados con el portafolio
de programas de inversiones facilitadas por
TI.

No se coordinan las actividades e

interpendencias de los mltiples proyectos
solo lo sustentan como una actividad.

la administracin de
No se tiene establecido un marco de trabajo
s de la administracin

s y aplicadas en cada
?
cin de proyectos que
erimientos regulatorios

para la administracin.
Si utilizan una metodologa pero no se
encuentran documentadas.
No

be incluir los roles, las

No se encuentran establecidos la estructura
s del patrocinador del

de gobierno de proyectos.

e los interesados en la
?

e los interesados en la
?
ce del proyecto para
os, un entendimiento
ecto ?formal por aprte
anera

No
Si
No

oyecto antes de iniciar

No

e de basar en las
a?

Si

se debe basar en la
de la fase previa?
proyecto, aprobado y

o largo de la vida del

ciones, autoridades y
os del equipo del

y servicios requeridos

s especficos asociados
dio de un proceso
n? afrontados por el
sgos

l producto entregable

idad que describa el

ser implantado?
a formal por todas las
porado en el plan
?

para cada proyecto?

No
No
Si
No
Si
No
No

1
1
2
1
2
4
2
2
4
1
1

orporado de manera
proyecto?
miento requeridas para
evos o modificados
oyecto?
e que los controles

dad satisfacen los

s?
ntra los criterios clave

cto al plan, evaluar su

rograma global ?
e los interesados del
dos y los beneficios

nte requerida para

cto y los beneficios del

esultados de la Evaluacin

3
4
3
2
4
5
3
4
5
2
4
3
3
4
3
5
3
1
2
3
4
3
5

Grfico

5
2
3
3
4
5
1
1
2
4
3
3
4
2
3
1
5
4

1
1
1
1
2
1
2
4
2
2
4
1
1

Grfico

Deficiencia 01

Deficiencia 02

Control

Objetivo de Control
Definicin y Mantenimiento de los
requerimientos Tcnicos y Funcionales del
Negocio

AI1. Identificar
soluciones
automatizadas

Reportes de Anlisis de Riesgo

Estudio de Factibilidad y Formulacin de

Cursos de Accin Alternativos

Requerimientos, Decisin de Factibilidad y

Aprobacin
Diseo de Alto Nivel
Diseo Detallado

AI2. Adquirir y
mantener software
aplicativo

Control y Posibilidad de Auditar las

Aplicaciones
Seguridad y Disponibilidad de las
Aplicaciones
Configuracin e Implantacin de Software
Aplicativo Adquirido
Actualizaciones Importantes en Sistemas
Existentes
Desarrollo de Software Aplicativo
Aseguramiento de la Calidad del Software
Administracin de los Requerimientos de
Aplicaciones
Mantenimiento de Software Aplicativo
Plan de Adquisicin de Infraestructura
Tecnolgica

Plan de Adquisicin de Infraestructura

Tecnolgica

AI3. Adquirir y
mantener
infraestructura
tecnolgica

Proteccin y Disponibilidad del Recurso de

Infraestructura

Mantenimiento de la Infraestructura

Ambiente de Prueba de Factibilidad

Plan para Soluciones de Operacin

AI4. Facilitar la
operacin y el uso

Transferencia de Conocimiento a la
Gerencia del Negocio
Transferencia de Conocimiento a Usuarios
Finales
Transferencia de Conocimiento al Personal
de Operaciones y Soporte
Control de Adquisicin

AI5. Adquirir
recursos de TI

Administracin de Contratos con

Proveedores

Seleccin de Proveedores

Adquisicin de Recursos de TI

Estndares y Procedimientos para Cambios

AI6. Administrar
Cambios

Evaluacin de Impacto, Priorizacin y

Autorizacin
Cambios de Emergencia
Seguimiento y Reporte del Estatus de

AI6. Administrar
Cambios
Cambio
Cierre y Documentacin del Cambio
Entrenamiento
Plan de Prueba
Plan de Implantacin

AI7. Instalar y
acreditar
soluciones y
cambios

Ambiente de Prueba
Conversin de Sistemas y Datos
Pruebas de Cambios
Prueba de Aceptacin Final
Promocin a Produccin
Revisin Posterior a la Implantacin

Control

miento de los
y Funcionales del
o

Pregunta
La organizacin cuenta con una infraestructura tecnolgica
soportada por un plan de adquisicin e implantacin?

Los planes de adquisicin e implementacin tecnolgica estn

basados en un requerimiento tcnico real de la organizacin?

La empresa gestiona los riesgos asociados con los

requerimientos del negocio y diseo de soluciones?

is de Riesgo

y Formulacin de
Alternativos

n de Factibilidad y
n

o Nivel

allado

de Auditar las
nes
bilidad de las
nes
acin de Software
quirido
ntes en Sistemas
es

are Aplicativo

idad del Software

equerimientos de
nes

tware Aplicativo

Infraestructura
ica

Qu mtodos implementa la empresa para la identificacin de

riesgos?
La empresa se encarga de la factibilidad de la implementacin
de los requerimientos?
La empresa u organizacin implementa los requerimientos?
Todas las soluciones generadas han sido aprobadas por el
patrocinador?
El patrocinador del negocio tiene la decisin final al elegir la
solucin y el enfoque de adquisicin?
Se controlan las especificaciones de diseo de la solucin?
Se tiene preparado el diseo detallado y los requerimientos
tcnicos del software de aplicacin?
Se implementan controles de negocio?
Se tiene presente la seguridad de las aplicaciones y los
requerimientos de disponibilidad en respuesta a los riesgos
identificados?
En la configuracin e implementacin de software de aplicacin
adquiridas, se tienen en cuenta los objetivos del negocio?
Se cuenta con un proceso para cambios o actualizaciones
importantes al diseo del sistema actual?
Existen procedimientos para garantizar las especificaciones
diseo de acuerdo a su desarrollo?
La empresa cuenta con un plan de aseguramiento de calidad de
software?
Se tiene definido y establecido un proceso para la gestin de
cambios?
Se tiene desarrollada alguna estratega y un plan para el
mantenimiento de aplicaciones de softwarte?
En qu se enfoca la empresa cuando se genera los planes para la
adquisicin de una estructura tecnolgica?

En qu se enfoca la empresa cuando se genera los planes para la

adquisicin de una estructura tecnolgica?
Los planes se extienden para extensiones futuras?
Se protegen los recursos de infraestructura?

ad del Recurso de
tura
Se tiene bien definida y comprendida la responsabilidad sobre el
uso de los componentes de la infraestructura por todos los que
desarrollen e integren estos componentes?

Infraestructura

de Factibilidad

Se utilizan procedimientos para el mantenimiento de la

infraestructura?
Se controlan los cambios de la organizacin, riesgo, evaluacin
de vulnerabilidades y requerimientos de seguridad?
Existen consideraciones tomadas en cuenta cuando se escoge
un ambiente de pruebas?
Existen consideraciones para realizar las pruebas?

de Operacin

Qu considera el plan para la solucin de operacin?

ocimiento a la
Qu forma tiene la empresa para la transferencia de
conocimientos a la gerencia del negocio?
Negocio
miento a Usuarios Utilizan procesos para transferir los conocimientos a los usuarios
finales?
s
miento al Personal
La empresa transfiere el conocimiento al personal de
operaciones y soporte?
y Soporte

quisicin

Contratos con
res

Qu estrategias utiliza la empresa para la adquisicion de

infraestructrura relacionada con TI?
Se cuentan y/o desarrollan procedimientos o estandares para la
adquirir infraestructura de TI, como por ejemplo Software,
Hardware?
Qu procesos utiliza la empresa para la contratacion de los
proveedores?
Los contratos de proveedores son revizados por una entidad
legal?
En base a que criterios seleccionan a los proveedores?

oveedores

cursos de TI

ntos para Cambios

o, Priorizacin y
in

ergencia

e del Estatus de

Con que deben cumplir los proveedores para contratarlos?

De que manera se monitorea el cumplimiento de los contratos
con los proveedores?
Qu medidas toma la empresa a un imcumplimiento del conrato?
Se posee un procedimiento para manejar de manera estandar
todas las solicitudes?
Como se garantizan que las solicitudes se evaluan de una
manera estructura en cuanto a impactos en el sistema
operacional
y sulafuncionalidad?
Se cuenta con procesos
cuenta
empresa para la planificacion,
evaluacion y autizacion de los cambios de emergencia que no
sigan el proceso de cambio establecido?
En que consiste su proceso de seguimiento del cambio aplicado
que permita saber sobre el estado del cambio?

in del Cambio

En que consiste su proceso de seguimiento del cambio aplicado

que permita saber sobre el estado del cambio?
Exciste un proceso de revision de cierre y documentacion de
cambios?

ento

En que consiste su plan de entrenamiento del personal cuando

se realiza un cambio?

ueba

Que considera la empresa para realizar el plan de pruebas?

ntacin

Prueba

emas y Datos

ambios

acin Final

oduccin

a Implantacin

Se cuenta con planes de implantacion?

Al momento de realizar las pruebas, se establece un ambiente
y/o entorno que permita aplicar correctamente los cambios y que
cumplan con los factores de controles de seguridad, buenas
practicas,
Cmo se controla la seguridad
y el etc.?
desempeo cuando se realiza
la migracion de un entorno de operaciones?
Cuentan y aplican prueblas de cambios que permita saber si
fueron aplicados correctamente?
Cmo verifican que el dueo de proceso de negocio y los
interesados de TI evaluen los resultados de los procesos de
prueba como determina el plan de prueba?
Que procedimientos cuenta para verificar la adecuada
implementacion de los cambios identificados?
En que se basan los procesos para los procesos en linea con los
estandares de gestion de cambios organizacionales?

Respuesta del Cliente

Si, la organizacin cuenta con una infraestructura que
soporta planes de mantenimiento acordes a las estrategias
tecnolgicas.
Si, los planes se encuentran basados en requerimientos
funcionales y tcnicos de BCP Host.

La empresa no cuenta con una gestin de los riesgos

asociados a los requerimientos del negocio.
Cuenta con un mantenimiento preventivo de equipos
electrnicos detalladas de documentos.
No
Si, la gran mayora.
Si
Se tiene claro que el pratocinador del negocio tiene la
decisin final.
Si
No se tiene bien definido este procedimiento.
Si, pero no se encuentran documentados de una manera
correcta.
La seguridad y disponibilidad de las aplicaciones es un
asunto de suma importancia, por ello siempre se tiene en
cuenta.
Si, se tiene en cuenta los objetivos del negocio al configurar
e implementar el software de aplicacin adquiridas.
Si
Existen procedimientos que garantizan las especificaciones
de diseo.
Cuando se esta desarrollando
o manteniendo aplicaciones,
ya sea internamente o por parte de terceros, siempre se
aplicaca procesos para la evaluacin de la calidad de dichas
aplicaciones.
No, completamnete.
Si se cuenta con planes para el mantenimiento de sistemas
existentes. Pero no, se tienen bien establecidos los
procedimientos de soporte a aplicativos de las distintas
La empresa en sus planesareas.
de tecnologa se enfocan en las
innovaciones que ayudan a la empresa en mejorar sus
requerimientos.

La empresa en sus planes de tecnologa se enfocan en las

innovaciones que ayudan a la empresa en mejorar sus
requerimientos.
Si
Si
Si, las reponsabilidades de los empelados a cargo de la
infraestructura han sido establecidos y comunicados
adecuadamente.

Resultados de la Evalucin

3
3
1
2
1
2
4
4
4
2
3
4
3
4
3
3
2
3
2

Grfico

2
4
4
3

Grfico

Control

DS1. Definir y administrar los niveles de servici

DS2. Administrar los servicios de terceros

DS3. Administrar el desempeo y la capacidad

DS3. Administrar el desempeo y la capacidad

DS4. Garantizar la continuidad del servicio

DS5. Garantizar la Seguridad de los Sistema

DS6. Identificar y Asignar Costos

DS6. Identificar y Asignar Costos

DS7. Educar y Entrenar a los Usuarios

DS8. Administrar la Mesa de Servicio y los

Incidentes

DS9. Administrar la Configuracin

DS10. Administracin de Problemas

Objetivo de Control

Marco de Trabajo de la Administracin de los Nivel

Definicin de Servicios

Acuerdos de Niveles de Servicio

niveles de servicio
Acuerdos de Niveles de Operacin

Monitoreo y Reporte del Cumplimento de los Nivel

Revisin de los Acuerdos de Niveles de Servicio y d

Identificacin de Todas las Relaciones con Pro

Gestin de Relaciones con Proveedore

cios de terceros

eo y la capacidad

Administracin de Riesgos del Proveed

Monitoreo del Desempeo del Proveed

Planeacin del desempeo y la capacid

Capacidad y desempeo actual

eo y la capacidad

dad del servicio

Capacidad y desempeo actual

Capacidad y desempeo futuros

Disponibilidad de recursos de TI

Monitoreo y reporte

IT Marco de trabajo de continuidad

Planes de continuidad de TI

Recursos crticos de TI

Mantenimiento del plan de continuidad d

Administracin de la Seguridad de TI

Plan de Seguridad de TI

ad de los Sistemas

gnar Costos

Administracin de Identidad

Administracin de Cuentas del Usuari

Definicin de Servicios

Contabilizacin de TI

gnar Costos

a los Usuarios

Contabilizacin de TI

Modelacin de Costos y Cargos

Identificacin de Necesidades de Entrenamiento

Imparticin de Entrenamiento y Educac

Evaluacin del Entrenamiento Recibid

Mesa de Servicios

de Servicio y los

onfiguracin

e Problemas

Registro de Consultas de Clientes

Escalamiento de Incidentes

Repositorio y Lnea Base de Configurac

Identificacin y Mantenimiento de Elementos de C

Revisin de Integridad de la Configurac

Identificacin y Clasificacin de Problem

Rastreo y Resolucin de Problemas

Cierre de Problemas

vo de Control

inistracin de los Niveles de Servicio

Pregunta

La empresa posee un marco de trabajo con el cual ven

necesidades que tiene?
Poseen roles definidos en la empresa?

Se posee un portafolio de los servicios de la empres

in de Servicios

e Niveles de Servicio

Se estn cumpliendo los requerimientos de la empre

Existen muchos procesos claves dentro del rea de

Normalmente existen convenios entre los niveles de se

existentes
Se explica como sern entregados los servicios?

Niveles de Operacin

El nivel de operacin tiene frecuencia de acuerdos

Actualmente se monitorea en el Nivel de Servicio?

mplimento de los Niveles de Servicio

Niveles de Servicio y de los Contratos

Con que frecuencia se realiza Reportes?

Cmo se realiza la revisin de acuerdos?

Con que frecuencia se realiza la revisin de acuerdo

Se categorizan todos los servicios de los proveedore

las Relaciones con Proveedores

Se mantiene una documentacin formal?

Las relaciones con los proveedores se encuentran formal

ciones con Proveedores

Sienten que sus clientes tienen confianza con ustede

Se tienen identificados los distintos riesgos?

de Riesgos del Proveedor

Los contratos siguen los requerimientos legales?

Los proveedores cumplen los requerimientos que se tie

esempeo del Proveedor

Se monitorea el desempeo de los proveedores?
Se revisa el desempeo de la empresa?

esempeo y la capacidad

y desempeo actual

Se evala la capacidad de desempeo de los recursos d

Se revisa la capacidad de los recursos de TI?

y desempeo actual

Se revisa el desempeo de los recursos de TI actualme

desempeo futuros

Se realizan pronsticos sobre la capacidad de recursos de

se usaran?

Se identifican los excesos de las capacidades de recursos

ad de recursos de TI

Se brindan las capacidades y desempeo de recurs

requeridos?

Se toman medidas para controlar el mal desempe

oreo y reporte

Se realiza un monitoreo continuo?

Se realizan los reportes mensuales de los servicios

El marco de trabajo tiene en cuenta la estructura organiz

rabajo de continuidad

El marco de trabajo como puntos como identificar recu

crticos?

El plan de continuidad tiene asociado distintos role

continuidad de TI
Los planes tienes procesos alternativos?

os crticos de TI

l plan de continuidad de TI

n de la Seguridad de TI

Con que frecuencia se fijan en los puntos crticos?

Se tienen identificados los puntos crticos?
Se ejecutan procedimientos de control de cambios
Se comunican los cambios en los procesos de forma c
Se toma con mucha importancia y prioridad la administra
la seguridad de TI?

Esta la administracin de la seguridad alineada a lo

requerimientos del negocio?
Existe un plan de seguridad de TI?

Seguridad de TI

Este plan contiene los requerimientos de negocio, ries

cumplimiento?

Los usuarios son identificables de manera unica?

acin de Identidad
De que manera se solicitan derechos de acceso?

de Cuentas del Usuario

in de Servicios

bilizacin de TI

Se encuentra definido , establecido y en operacin, un p

de administracion de identidad?

Realizan revisiones y validaciones periodicas sobre los pr

y derechos de acceso de los usuarios?

Se han identificado todos los costos de TI y se encuen

mapeados a los servicios de TI con base en costos unita

Se encuentra mapeada, es decir, alineada la infraestruct

los servicios brindados/ procesos de negocios soportad
Se registran y asignas los costos actuales de acuerdo al
definido?

bilizacin de TI

Se analizan y reportan las variaciones entre los presupu

los costos actuales de acuerdo a los sistemas de medi
financiera definida por la empresa?
Se encuentra definido un modelo de costos?

de Costos y Cargos

des de Entrenamiento y Educacin

ntrenamiento y Educacin

Entrenamiento Recibido

a de Servicios

Consultas de Clientes

ento de Incidentes

ea Base de Configuracin

Esta alineado este modelo con los procedimientos d

contabilizacion de costos de la empresa?

Se cuentan con programas de capacitacion dentro de

organizacin?

Se realizan actividades de capacitacion y charlas d

concienciacion?

Se identifican, evaluan los mejores metodos y herramient

impartir las capacitaciones?

Se llevan a cabo evaluaciones de capacitacion para v

progreso de los capacitados?

Forman los resultados de estas evaluaciones la definicion

de los planes de estudio?

El BCP, cuenta con una mesa de servicios donde se pu

comunicar las incidencias?

Tienen o realizan mediciones sobre la satisfaccin del u

final respecto a la calidad de la mesa de servicios?

Se registran todo tipo de solicitud de servicio y necesida

informacion?

Se realizan clasificaciones de incidentes de acuerdo al neg

la prioridad de servicio?

Se asegura que la asignacion de incidentes y el monitor

ciclo de vida permanencen en la mesa de servicio?

Se tienen y/o desarrollan procedimientos de planeacio

administracion de la configuracion?

Se realizan actualizaciones del repositorio de configura

ento de Elementos de Configuracin

Estan establecidos procedimientos de configuracion p

soportar la gestion y rastro de todos los cambios al reposi
configuracion?

Se hacen revisiones periodicas de los datos de configur

gridad de la Configuracin

lasificacin de Problemas

Se verifica y audita toda la informacion de la configura

incluyendo la deteccion de software no configurado

Se identifican y clasifican problemas? Que procedimien

realizan?

Se hace un analsis de la causa-raiz del problema?

solucin de Problemas

Se mantienen registros de los problemas identificado

Se Realizan revisiones del estatus de los problemas

de Problemas

Siempre se resuelven los problemas presentados?

egunta

co de trabajo con el cual ven las

des que tiene?

finidos en la empresa?

de los servicios de la empresa?

Respuesta del Cliente

Si, la empresa utiliza para el cual permite mejorar gestionar
los servicios en el area de TI
SI
SI

requerimientos de la empresa?

Si, se posee controles para asegurar el cumplimiento

s claves dentro del rea de TI?

Si

enios entre los niveles de servicio

istentes

n entregados los servicios?

Si se establecio convenios de niveles de Servicios para los

servicios criticos de TI
Si

ene frecuencia de acuerdos?

Si, se tiene acuerdos o convenios de opercion apra los

servicios de TI

orea en el Nivel de Servicio?

Si

cia se realiza Reportes?

a revisin de acuerdos?
ealiza la revisin de acuerdos?

s servicios de los proveedores?

documentacin formal?

edores se encuentran formalizadas?

tienen confianza con ustedes?

ados los distintos riesgos?

Cada 3 meses
Se revisa todas las clausulas del contrato y se verifica que
se cumplan caday una
de ellasel catalogo de
Si se revisan periodicamente
actualizan
servicio
Si todos los servicios de terceros se encuentran
categorizados
SI
Todo proceso relicionado con terceros es transparente para
ambos integrantes
SI
Todos los riesgos relacionados con los proveedores o
terceros se encuentran identificados y mitigados

los requerimientos legales?

Si

os requerimientos que se tienen?

Si

mpeo de los proveedores?

mpeo de la empresa?

desempeo de los recursos de TI?

dad de los recursos de TI?

Todos los servicios de los proveedores son monitoreados por

la empresa
Si se tiene establecido los planes para las revisiones de
desempeo
La empresa tiene procediminetos para la evaluacion de los
recursos de TI
Si

e los recursos de TI actualmente?

SI

la capacidad de recursos de TI que

usaran?

Si constantemente se realiza y obtiene pronosticos del

desempeo, esto se obtiene por medio de las revisiones

las capacidades de recursos de TI?

Si

des y desempeo de recursos

ueridos?

Si

controlar el mal desempeo?

Si se posee planes de contingencia

monitoreo continuo?
s mensuales de los servicios?

cuenta la estructura organizacional?

puntos como identificar recursos

rticos?

tiene asociado distintos roles?

s procesos alternativos?

e fijan en los puntos crticos?

ados los puntos crticos?
entos de control de cambios?
s en los procesos de forma clara?
ncia y prioridad la administracion de
uridad de TI?

de la seguridad alineada a los

ntos del negocio?
de seguridad de TI?

uerimientos de negocio, riesgos y

plimiento?

tificables de manera unica?

licitan derechos de acceso?

blecido y en operacin, un proceso

acion de identidad?

Si
Si
Si
Si se considera tales puntos como al identificacion de
recursos criticos, el monitoreo y reporte de la disponibilidad
de estos recursos
Si
Si los cuales se establecieron despues de un analisis y
estudio del entorno
Cada 2 meses
Si
Si
La comunicacion de los procedimientos son claros
Si
Si, la seguridad se encuentra alineado a los requremientos
del negocio
Si
Si, se ha tomado en cuenta los riesgos, politicas y
cumplimiento
Todos las politicas son comunicadas a los empleados del
banco
Si
Dependiento del puesto que ocupan

ones periodicas sobre los privilegios

cceso de los usuarios?

Si

los costos de TI y se encuentran

e TI con base en costos unitarios?

Si

ecir, alineada la infraestructura con

ocesos de negocios soportados?

Si, esta alineado a toda la infraestructura de TI

stos actuales de acuerdo al modelo

efinido?

Si, se resgistran y asigan los costos

ariaciones entre los presupuestos y

erdo a los sistemas de medicion
nida por la empresa?

ido un modelo de costos?

elo con los procedimientos de

costos de la empresa?

as de capacitacion dentro de la
anizacin?

de capacitacion y charlas de
enciacion?

Si
Si
Si
Si, se cuentan con programas de capacitacin dependiendo
de las funciones del personal y las reas a las que
pertenecen
Si, dichas actividades son programadas y ejecutadas.

ejores metodos y herramientas para Todos los metodos y herramientas son evaluados para luego
capacitaciones?
impartir en la capacitacion.

ones de capacitacion para ver el

los capacitados?

as evaluaciones la definicion futura

nes de estudio?

sa de servicios donde se pueden

las incidencias?

es sobre la satisfaccin del usuario

dad de la mesa de servicios?

Si, despues de cada capacitacion se evalua a todos los

asistentes.
Si, los resultados de estas evaluaciones son importantes
para definir e implementar los futuros entrenamientos,
aumentando el nivel de de las capacitaciones.
Si, el cual se encuentra situado en el area de Help desk
Si, se tienen y realizan mediciones para ver el nivel de
satisfacin de usuario final.

icitud de servicio y necesidades de

Si, toda las solicitudes de informacin y servicio se registran.
rmacion?

ncidentes de acuerdo al negocio y a

ad de servicio?

Si, pero se toma como referencia la prioridad del servicio.

dimientos de configuracion para

todos los cambios al repositorio de
guracion?

Si, el seguimiento de las incidencias, se gestinan a travs

del sistema de HelpDesk
si, existen procedimientos para la administracin de la
cofiguracin de los recuros de TI (referente al hardware)
Cada vez que ocurre un cambio de configuracin
significativo, se actualiza el repositorio de configuraciones
Existen procedimientos para la gestin de todos las
configuraciones

cas de los datos de configuracion?

No se realizan frecuentemente, pero si se realizan revisiones

a informacion de la configuracion
de software no configurado?

Siempre se revisa la iinformacin respecto a la configuracin

de los equipos
Todo los problemas identificados son clasificados segn su
importancia y gravedad, los procedimientos son
establecidos por mesa de ayuda.
Se analiza cada problema para encontrar la o las causas que
la generaron.
Todos los problemas identificados son registrados para tener
un historial de los mismos.
Durante el ciclo de atencin del problema, siempre se revisa
el status del mismo

n de incidentes y el monitoreo del

ncen en la mesa de servicio?

procedimientos de planeacion de
de la configuracion?
del repositorio de configuracion?

oblemas? Que procedimientos se

alizan?
la causa-raiz del problema?

de los problemas identificados?

del estatus de los problemas?

los problemas presentados?

Si, Siempre se busca resolver todos los problemas

ente

te mejorar gestionar
de TI

el cumplimiento

e Servicios para los

TI

opercion apra los

ato y se verifica que

ellasel catalogo de
zan

se encuentran

s transparente para

os proveedores o
os y mitigados

on monitoreados por

a las revisiones de

la evaluacion de los

Resultados de
la Evalucin

3
3
3
2
3
2
2
3
2
3
1
4
2
3
4
3
4
3
3
2
4
4

Grfico

ne pronosticos del
o de las revisiones

ngencia

identificacion de
de la disponibilidad

s de un analisis y

ntos son claros

a los requremientos

gos, politicas y
los empleados del

e ocupan

tructura de TI

s costos

3
4
2
2
3
2
2
3
2
3
3
2
3
3
2
3
3
2
1
2
2
3
3

tacin dependiendo
reas a las que

das y ejecutadas.

valuados para luego

ion.
evalua a todos los

es son importantes
s entrenamientos,
pacitaciones.
area de Help desk

ara ver el nivel de

nal.

servicio se registran.

oridad del servicio.

e gestinan a travs
esk
ministracin de la
rente al hardware)
e configuracin
de configuraciones
in de todos las

e realizan revisiones

to a la configuracin

asificados segn su
dimientos son
ayuda.
r la o las causas que

gistrados para tener

mos.
ma, siempre se revisa

s los problemas

2
2
2
3
3
3
3
3
3
3
3
3
3
3
4
2
0
3
2
3
3
4
3

Control

ME1
Monitorear y
Evaluar el
Desempeo de TI

ME2
Monitorear y
Evaluar el Control
Interno

ME2
Monitorear y
Evaluar el Control
Interno

ME3
Garantizar el
Cumplimiento con
Requerimientos
Externos

ME4
Proporcionar
Gobierno de TI

ME4
Proporcionar
Gobierno de TI

Objetivos de control
Enfoque del Monitoreo

Definicin y Recoleccin de Datos

de Monitoreo

Mtodo de Monitoreo

Evaluacin del Desempeo

Reportes al Consejo Directivo y a

Ejecutivos

Acciones Correctivas
Monitorizacin del Marco de Trabajo de Control
Interno
Revisiones de Auditora

Excepciones de Control

Control de Auto Evaluacin

Aseguramiento del Control Interno

Control Interno para Terceros

Acciones Correctivas
Identificar los Requerimientos de las Leyes,
Regulaciones y Cumplimientos Contractuales

Optimizar la Respuesta a Requerimientos Externos

Evaluacin del Cumplimiento con Requerimientos
Externos

Aseguramiento Positivo del Cumplimiento

Reportes Integrados

Establecimiento de un Marco de Gobierno de TI

Alineamiento Estratgico

Entrega de Valor

Entrega de Valor

Administracin de Recursos

Administracin de Riesgos

Medicin del Desempeo

Aseguramiento Independiente

Preguntas
Cuentan con un marco de trabajo general y un enfoque que definan el alcance?
Definalos.
Utilizan una metodologa y procesos para medir la solucin y la entrega de
servicios de TI? Cules?
Se monitorea la contribucin de TI al negocio? Cmo?
Se integra el marco de trabajo con el sistema de administracin del desempeo
corporativo?
Se han definido un conjunto de objetivos de desempeo? Se encuentran
aprobados por el negocio y otros interesados relevantes?
Cuentan con referencias definidas para comparar los objetivos? Se identifican los
datos disponibles a recolectar para medir los objetivos?
Se han establecido procesos para la recoleccin de informacin oportuna y precisa
para reportar el avance contra las metas?
Se utiliza algun mtodo para el proceso de monitoreo? Cul?
Brinda una visin sucinta y desde todos los ngulos del desempeo de TI?
Se adapta al sistema de monitoreo de la empresa?
Se compara de forma periodica el desempeo contra las metas? Cmo?
Se realiza un analisis de la causa raiz?
Se inician medidas correctivas para resolver las causas subyacentes? Cmo?
Se proporcionan reportes administrativos? Son revisados por la alta direccin?
Los reportes incluyen el grado en el que se han alcanzado los objetivos planeados,
entregables obtenidos, metas de desempeo alcanzadas y riesgos mitigados?
Se identifica la desviacin respecto al desempeo esperado?
Se inicia y reporta las medidas de administracin adecuadas?
Se identifican e inician medidas correctivas basadas en el monitoreo del
desempeo, evaluacin y reportes?
Se realiza un seguimiento de todo el monitoreo, reportes y evaluaciones?
Se monitorea de forma continua, compara y mejora el ambiente de control de TI y
el marco de trabajo de control de TI? Cmo?
Se monitorea y evalua la eficiencia y efectividad de los controles internos de
revicin de la gerencia de TI? Cmo?
Se identifican las excepciones de control?
Se analizan e identifican sus causas raz y subyacente?
Se escalan las excepciones de control ?
Se reportan a los interesados apropiadamente?
Se establecen acciones correctivas necesarias?
Se evalua la completitud y efectividad de los controles de gerencia?
Se evaluan estos sobre los procesos, politicas y contratos de TI por medeio de un
programa continuo de auto-evaluacin?

Se realizan revisiones de terceros a los controles internos?

Se obtiene el aseguramiento adicional de la completitud y efectividad de los

controles internos?
Se evalua el estado de los controles internos de los proveedores de servicios
externos? Cmo?

Se confirma que los proveedores de servicios externos cumplen con los

requerimientos legales regulatorios y obligaciones contractuales? Cmo?

Se identifican, inician, rastrean e implementan acciones correctivas de los

controles de evaluacin e informes?
Se han identificado las leyes locales e internacionales, regulaciones y otros
requerimientos externos?
Estos se cumplen y son incorporados en las politicas, estandares, procedimientos y
metodologias de TI de la organizacin?
Se revisan y ajustan las politicas, estandares, procedimientos y metodologias de
TI?
Esto garantiza que los requisitos legales, regulatorios y contractuales son
direccionados y comunicados?
Se confirma el cumpliemiento de politicas, estandares, procediemitnos y
metodologas de TI con requerimientos legales y regulatorios?
Se garantiza el cumplimiento y adhesin a las politicas o requerimientos legales?
Se toman acciones correctivas para resolver cualquier brecha de cumplimiento de
forma oportuna?
Estas acciones poseen un dueo responsable del proceso?
Se integran los reportes de TI sobre requerimientos legales, regulatorios y
contractuales?
Se define, establece y alinea el marco de gobierno de TI con la visin completa del
entorno de control y gobierno corporativo?
Se basa el marco de trabajo en un adecuado proceso de TI y modelo de control?
Proporciona la rendicin de cuentas y prcticas para evitar una rotura en el control
interno y la revisin?
El marco de gobierno de TI cumple con las leyes y regulaciones?Esta alineado y
confirma la entrega de la estrategia y objetivos empresariales?
Informa del estado y cuestiones de gobierno de TI?
Se facilita el entendimiento de los roles de TI, caracteristicas propias y
capacidades de la tecnologa?
Existe un entendimiento compartido entre el negocio y la funcin de TI sobre la
contribucin potencial de TI a la estrategia del negocio?
Se trabaja con el consejo directivo para definir e implementar organismos de
gobierno?
Se facilita la alineacin de TI con el negocio en lo referente a estrategia y
operaciones?
Se fomenta la co-responsabilidad entre el negocio y TI en la toma de decisiones
estrategica?
Se administran los programas de inversin habilitados con TI?
Se generan casos de negocio integrales y consistentes? Son aprobados por los
interesados?

Los activos e inversiones son administradas a los largo del ciclo de vida
econmico?
Se relaiza una administracin activa del logro de los beneficios?
Se encuentra implementado un enfoque disciplinado de la administracin del
portafolio, programa y proyecto?
Se revisa la inversin, uso y asignacin de los activos de TI?
Se realizan evaluaciones peridicas de las iniciativas y operaciones de TI?
Se trabaja con el consejo directivo para definir el nivel de riesgo aceptable de TI?
Se defnen responsabilidades de administracin de riesgos?
Se evalua y reporta los riesgos relacionados a TI?
Se evalua y reporta el impacto de estos riesgos?
Se confirma que los objetivos han conseguido o excedido? Se confirma que el
progreso hacia las metas de TI cumple las expectativas?
Se revisan las acciones correctivas de gerencia?
Se informa a direccin los portafolios relevantes programas y desempeos de TI??
Se garantiza de forma independiente (interna o externa) la conformidad de TI con
la legislacin y regulacin relevante? Asi mismo con las politicas de la
organizacin, estandares y procedimientos; practicas aceptadas; y la efectividad y
eficiencia del desempeo de TI? Cmo?

Respuestas

Resultado de la Evaluacin

Grfico

PMBOK

https://books.google.com.pe/books?id=ikcJBwAAQBAJ&pg=PT12&dq=cobit+4.1+QUESTIONS&hl=e

COBIT

https://books.google.com.pe/books?id=HcXV6JLzSpQC&printsec=frontcover&dq=cobit+4.1+tutoria

EJEMPLO DE CUESTIONARIO
http://es.slideshare.net/Abuallia/5-cobit-4-1-assessmnt-present-techniques

COBIT 5
https://books.google.com.pe/books?
id=1iLKVlOIg9EC&pg=PA9&lpg=PA9&dq=cobit
+4.1+information+criteria+questions&source
=bl&ots=TA4mvAMRtq&sig=1AZ0yJK6f2mbBB
pBdwYvML7BPy0&hl=es419&sa=X&ei=FqxGVZ7XC4WegwSPs4DwCA&
ved=0CFQQ6AEwCQ#v=onepage&q=55&f=fal
se

COBIT 4.1

https://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT4.pdf

RESULTADOS

PLANIFICAR Y ORGANIZA

ADQUIRIR E IMPLEMENT

ENTREGA Y SOPORTE

Data generada
Informacin

Data generada

Documentaci

ENTREGA Y SOPORTE

Data generada
Informacin

Data generada

Documentaci
hardware, siste
administrativo
locales, manua

MONITOREAR Y EVALUAR
4.5
4
3.5
3
2.5
2
1.5
1
0.5
0

Y ORGANIZAR
Servidores centrales

Dispositivos de conectividad y soporte en

comunicaciones (Cableado, antenas, switch,
hubs, mdems.)

PC's de Escritorio

Telefonos (Anexos)

E IMPLEMENTAR

Departamento de sistemas - Gestin de la

Direccin de Sistemas.
Personal con experiencia en los procesos
Sistemas de Gestin de Terceros
Recursos Humanos
Sistema de Aire Acondicionado
Gestion de la seguridad de la informacion
Sistema de Telecomunicaciones / MAN

ORTE
Data generada por los Sistemas de
Informacin
Data generada por los Usuarios.
Documentacin de programas,

ORTE
Data generada por los Sistemas de
Informacin
Data generada por los Usuarios.
Documentacin de programas,
hardware, sistemas, procedimientos
administrativos
locales, manuales, etc.

LUAR

Entorno
Hardware
Software
Informacion
Intangible
Servicios