Management Awareness Diagnostic 1-Controlling IT

Riesgo ¿Quien lo hace?

Importancia Cuán importante es para la organización en una escala de 1 (nada) a 5 (mucho)Actuación = Que tan bien
se hace de 1 (muy bien) a 5 (no sabe o mal)Formalidad = Existencia de un contrato, un SLA o un procedimiento

TECNOLOGÍA
claramente documentado (Sí, No o ?)auditado = Sí, No o ?Responsable = Nombre o 'no sé'COBIT 2019 Dominios y
Importancia

Actuación

Objetivos

Otro
Gobernancia
Evaluar, Dirigir y Monitorear
4 3 EDM01 Configuración y mantenimiento del marco de gobierno garantizado x
4 3 EDM02 Entrega de beneficios garantizados
4 2 EDM03 Optimización del Riesgo Garantizado x
5 2 EDM04 Optimización de recursos asegurada x
3 2 EDM05 Compromiso asegurado de las partes interesadas x
Gestión
Alinear, planificar y organizar
4 3 APO01 Marco de gestión de I&T gestionado x
3 3 APO02 Estrategia gestionada x
4 3 APO03 Arquitectura empresarial gestionada x
3 4 APO04 Innovación Gestionada x
4 3 APO05 Cartera administrada x
3 2 APO06 Presupuesto y Costos Administrados x
4 3 APO07 Recursos Humanos Gestionados x
4 3 APO08 Relaciones administradas x
3 3 APO09 Acuerdos de servicios gestionados x
4 4 APO10 Proveedores gestionados x
4 3 APO11 Calidad gestionada x
3 3 APO12 Riesgo gestionado x
4 2 APO13 Administrar Seguridad x
4 2 APO14 Datos gestionados x
Construir, Adquirir y Operar
4 2 BAI01 Programas Administrados x
3 3 BAI02 Definición de requisitos gestionados x
3 3 BAI03 Identificación y construcción de soluciones administradas x
4 3 BAI04 Disponibilidad y capacidad gestionadas x
3 4 BAI05 Cambio Organizacional Gestionado x
4 3 BAI06 Cambios de TI gestionados x
4 4 BAI07 Transición y aceptación de cambios de TI gestionados x
4 4 BAI08 Conocimiento Gestionado x
4 3 BAI09 Activos gestionados
5 3 BAI10 Configuración gestionada x
5 4 BAI11 Proyectos Gestionados x
Entrega, Servicio y Soporte
5 4 DSS01 Operaciones Administradas x
4 3 DSS02 Solicitudes e incidentes de servicios gestionados x
4 4 DSS03 Problemas gestionados x
4 2 DSS04 Continuidad gestionada x
4 2 DSS05 Servicios de seguridad gestionados x
5 1 DSS06 Controles de procesos empresariales gestionados x
Monitorear, Evaluar y Valorar
5 3 MEA01 Supervisión gestionada del rendimiento y la conformidad x
4 2 MEA02 Sistema Administrado de Control Interno x
4 3 MEA03 Cumplimiento gestionado de requisitos externos x

Copyright 2007 IT Governance Institute. All rights reserved.

Management Awareness Diagnostic 1-Controlling IT

¿Quien lo hace?

Formalidad
¿Quién es responsable?

Auditado
No lo sé
Afuera
SI NO PINANJOTA COYAGO EDISON ELIAS
SI SI QUITO CARRILLO DARWIN FABRICIO
SI NO VACA ESPINOZA ALEXIS XAVIER
SI NO CORDOVA MORILLO DAYANA LISBETH
SI NO JARAMILLO ARBOLEDA JORGE BLADIMIR

SI NO RAMIREZ FUERES JOHNN EDISON

SI NO TERAN BALLESTEROS VICTOR HUGO
SI NO CARLOSAMA CARLOSAMA EDGAR DIEGO
SI NO QUINTERO PLATA CHARLIE DARMI
SI NO CASTAÑEDA CANDO JOSE DIMAS
SI SI LESCANO BORJA ANDERSON SANTIAGO
SI NO ORTEGA LLANOS BRYAN ANDRES
SI NO ZAMORA MOREANO EDISON AUGUSTO
SI NO LLIGUISUPA PONCE KEVIN BRAYAN
SI NO VILLOTA TREJO JEFFERSON MAURICIO
SI NO RAMIREZ CORAL DILAN RIVALDO
SI NO DIAZ DIAZ LUIS PEDRO
SI NO VINUEZA CUAICAL KEVIN XAVIER
SI SI YEPEZ MORETA DIEGO FABRICIO

SI NO HERRERA MAYORGA KARLA ANDREA

SI SI QUINATOA ULCUANGO PAUL ALEXANDER
SI SI RAMIREZ RECALDE GISSELA LIZBETH
SI NO PINCHAO CHAPI JEFFERSON ALEXANDER
SI NO ROBALINO LUCERO PABLO JOSE
SI NO SALGADO SILVA JORGE PATRICIO
SI SI GARCIA GUERRA MATTHEW FERNANDO
SI NO LEMA DIAS KEVIN JOHAO
x SI NO TITUAÑA FERNANDEZ RIKY KATARI
SI NO IBARRA HERRERA NARCISA KARELIS
SI NO GUAICHICO PIÑAN EDISON GEOVANNY

SI NO ORTEGA LLANOS BRYAN ANDRES

SI SI GARCIA GUERRA MATTHEW FERNANDO
SI NO QUINATOA ULCUANGO PAUL ALEXANDER
SI NO ROBALINO LUCERO PABLO JOSE
SI NO LLIGUISUPA PONCE KEVIN BRAYAN
SI SI VACA ESPINOZA ALEXIS XAVIER

SI SI LESCANO BORJA ANDERSON SANTIAGO

SI NO ZAMORA MOREANO EDISON AUGUSTO
SI NO CORDOVA MORILLO DAYANA LISBETH

Copyright 2007 IT Governance Institute. All rights reserved.

continuación se enumeran las prácticas asociadas con cada uno de los procesos de gobierno y gestión en COBIT® 2019.
Las prácticas están ordenadas en el orden en que aparecen enCOBIT® Marco 2019: Gobernanza y Objetivos de Gestión.
Objetivos: 40
Área Dominio ID de objetivo Objetivo Descripción del objetivo
Gobernancia Evaluar, Dirigir y Monitorear EDM01 Establecimiento y mantenimiento del marco de gobernanza Analizar y articular los requisitos para la gobernanza de la I&T
garantizado empresarial. Establecer y mantener componentes de gobierno con
claridad de autoridad y responsabilidades para lograr la misión, las
metas y los objetivos de la empresa.
Gobernancia Evaluar, Dirigir y Monitorear EDM02 Entrega de beneficios garantizados Optimice el valor para el negocio de las inversiones en procesos
comerciales, servicios de I&T y activos de I&T.
Gobernancia Evaluar, Dirigir y Monitorear EDM03 Optimización de riesgos asegurada Asegúrese de que el apetito y la tolerancia al riesgo de la empresa se
entiendan, articulen y comuniquen, y que el riesgo para el valor de la
empresa relacionado con el uso de I&T se identifique y gestione.
Gobernancia Evaluar, Dirigir y Monitorear EDM04 Optimización de recursos asegurada Asegúrese de que los recursos comerciales y relacionados con I&T
(personas, procesos y tecnología) adecuados y suficientes estén
disponibles para respaldar los objetivos de la empresa de manera
efectiva y a un costo óptimo.
Gobernancia Evaluar, Dirigir y Monitorear EDM05 Compromiso asegurado de las partes interesadas Asegúrese de que las partes interesadas estén identificadas y
comprometidas con el sistema de gobierno de I&T y que la medición y
los informes de cumplimiento y rendimiento de I&T de la empresa sean
transparentes, con las partes interesadas aprobando los objetivos y las
métricas y las acciones correctivas necesarias.
Gestión Alinear, planificar y organizar APO01 Marco de gestión de I&T gestionado Diseñe el sistema de gestión para I&T empresarial en función de los
objetivos empresariales y otros factores de diseño. Sobre la base de este
diseño, implementar todos los componentes necesarios del sistema de
gestión.
Gestión Alinear, planificar y organizar APO02 Estrategia gestionada Proporcione una visión holística del entorno empresarial y de I&T actual,
la dirección futura y las iniciativas necesarias para migrar al entorno
futuro deseado. Asegúrese de que el nivel deseado de digitalización sea
parte integral de la dirección futura y la estrategia de I&T. Evaluar la
madurez digital actual de la organización y desarrollar una hoja de ruta
para cerrar las brechas. Con el negocio, reconsidere las operaciones
internas, así como las actividades de cara al cliente. Asegure el enfoque
en el viaje de transformación en toda la organización. Aproveche los
componentes básicos de la arquitectura empresarial, los componentes
de gobierno y el ecosistema de la organización, incluidos los servicios
proporcionados externamente y las capacidades relacionadas, para
permitir una respuesta confiable pero ágil y eficiente a los objetivos
estratégicos.
Gestión Alinear, planificar y organizar APO03 Arquitectura empresarial gestionada Establecer una arquitectura común que consista en capas de
arquitectura de procesos comerciales, información, datos, aplicaciones y
tecnología. Cree modelos y prácticas clave que describan las
arquitecturas de referencia y de destino, en línea con la estrategia
empresarial y de I&T. Defina los requisitos para la taxonomía, las
normas, las directrices, los procedimientos, las plantillas y las
herramientas, y proporcione un vínculo para estos componentes.
Mejore la alineación, aumente la agilidad, mejore la calidad de la
información y genere posibles ahorros de costos a través de iniciativas
como la reutilización de componentes básicos.
Page 3
Declaración de propósito objetivo
Proporcionar un enfoque coherente integrado y alineado con el enfoque
de gobierno empresarial. Las decisiones relacionadas con I&T se toman
de acuerdo con las estrategias y objetivos de la empresa y se logra el
valor deseado. Con ese fin, garantizar que los procesos relacionados con
I&T se supervisen de manera efectiva y transparente; se confirma el
cumplimiento de los requisitos legales, contractuales y reglamentarios; y
se cumplen los requisitos de gobierno para los miembros de la junta.
Asegure el valor óptimo de las iniciativas, los servicios y los activos
habilitados por I&T; entrega rentable de soluciones y servicios; y una
imagen confiable y precisa de los costos y los beneficios probables para
que las necesidades comerciales se respalden de manera efectiva y
eficiente.
Asegúrese de que el riesgo empresarial relacionado con I&T no supere el
apetito por el riesgo y la tolerancia al riesgo de la empresa, que se
identifique y gestione el impacto del riesgo de I&T en el valor de la
empresa y que se minimice el potencial de fallas en el cumplimiento.
Asegúrese de que las necesidades de recursos de la empresa se
satisfagan de manera óptima, los costos de I&T estén optimizados y
haya una mayor probabilidad de realización de beneficios y preparación
para cambios futuros.
Asegúrese de que las partes interesadas respalden la estrategia y la hoja
de ruta de I&T, que la comunicación con las partes interesadas sea
efectiva y oportuna, y que se establezca la base para la presentación de
informes para aumentar el rendimiento. Identifique áreas de mejora y
confirme que los objetivos y estrategias relacionados con I&T están en
línea con la estrategia de la empresa.
Implementar un enfoque de gestión consistente para cumplir con los
requisitos de gobierno corporativo, que abarque componentes de
gobierno como los procesos de gestión; Estructuras organizacionales;
funciones y responsabilidades; actividades confiables y repetibles;
artículos de información; Policias y procedimientos; destrezas y
competencias; cultura y comportamiento; y servicios, infraestructura y
aplicaciones.
Apoye la estrategia de transformación digital de la organización y
entregue el valor deseado a través de una hoja de ruta de cambios
incrementales. Utilice un enfoque holístico de I&T, asegurándose de que
cada iniciativa esté claramente conectada con una estrategia general.
Habilite el cambio en todos los diferentes aspectos de la organización,
desde canales y procesos hasta datos, cultura, habilidades, modelo
operativo e incentivos.
Representar los diferentes componentes básicos que componen la
empresa y sus interrelaciones, así como los principios que guían su
diseño y evolución a lo largo del tiempo, para permitir una entrega
estándar, receptiva y eficiente de los objetivos operativos y estratégicos.
Gestión Alinear, planificar y organizar APO04 Innovación Gestionada Mantener un conocimiento de I&T y las tendencias de servicios Logre una ventaja competitiva, innovación empresarial, una mejor
relacionados y monitorear las tendencias tecnológicas emergentes. experiencia del cliente y una mayor eficacia y eficiencia operativas
Identificar de manera proactiva oportunidades de innovación y planificar mediante la explotación de los desarrollos de I&T y las tecnologías
cómo beneficiarse de la innovación en relación con las necesidades emergentes.
comerciales y la estrategia de I&T definida. Analizar qué oportunidades
para la innovación o mejora empresarial pueden crearse mediante
tecnologías emergentes, servicios o innovación empresarial habilitada
por I&T; a través de tecnologías establecidas existentes; y por la
innovación de procesos de negocio y TI. Influir en las decisiones de
planificación estratégica y arquitectura empresarial.

Gestión Alinear, planificar y organizar APO05 Portafolio Administrado Ejecutar la dirección estratégica establecida para las inversiones en línea Optimice el rendimiento de la cartera general de programas en
con la visión de la arquitectura empresarial y la hoja de ruta de I&T. respuesta al rendimiento de programas, productos y servicios
Considere las diferentes categorías de inversiones y las limitaciones de individuales y a las cambiantes prioridades y demanda de la empresa.
recursos y financiamiento. Evaluar, priorizar y equilibrar programas y
servicios, gestionando la demanda dentro de las limitaciones de recursos
y financiación, en función de su alineación con los objetivos estratégicos,
el valor y el riesgo de la empresa. Mueva los programas seleccionados a
la cartera de productos o servicios activos para su ejecución. Supervisar
el desempeño de la cartera general de productos, servicios y programas,
proponiendo ajustes según sea necesario en respuesta al desempeño
del programa, producto o servicio o cambiando las prioridades de la
empresa.

Gestión Alinear, planificar y organizar APO06 Presupuesto y costos administrados Administrar las actividades financieras relacionadas con I&T tanto en las
funciones comerciales como de TI, cubriendo el presupuesto, la gestión
de costos y beneficios y la priorización de gastos mediante el uso de
prácticas presupuestarias formales y un sistema justo y equitativo de
asignación de costos a la empresa. Consultar a las partes interesadas
para identificar y controlar los costos y beneficios totales dentro del
contexto de los planes estratégicos y tácticos de I&T. Iniciar acciones
correctivas cuando sea necesario.
Fomentar una asociación entre TI y las partes interesadas de la empresa
para permitir el uso eficaz y eficiente de los recursos relacionados con
I&T y brindar transparencia y responsabilidad sobre el costo y el valor
comercial de las soluciones y los servicios. Permita que la empresa tome
decisiones informadas con respecto al uso de soluciones y servicios de
I&T.

Gestión Alinear, planificar y organizar APO07 Recursos Humanos Administrados Proporcionar un enfoque estructurado para garantizar una Optimice las capacidades de los recursos humanos para cumplir los
contratación/adquisición, planificación, evaluación y desarrollo óptimos objetivos empresariales.
de los recursos humanos (tanto internos como externos).
Gestión Alinear, planificar y organizar APO08 Relaciones administradas Gestione las relaciones con las partes interesadas del negocio de una Habilite el conocimiento, las habilidades y los comportamientos
manera formalizada y transparente que asegure la confianza mutua y un correctos para crear mejores resultados, mayor confianza, confianza
enfoque combinado en el logro de los objetivos estratégicos dentro de mutua y uso efectivo de los recursos que estimulen una relación
las limitaciones de los presupuestos y la tolerancia al riesgo. Base las productiva con las partes interesadas del negocio.
relaciones en una comunicación abierta y transparente, un lenguaje
común y la voluntad de asumir la propiedad y la responsabilidad de las
decisiones clave de ambas partes. El negocio y TI deben trabajar juntos
para crear resultados empresariales exitosos que respalden los objetivos
de la empresa.

Gestión Alinear, planificar y organizar APO09 Acuerdos de servicios gestionados Alinee los productos y servicios habilitados para I&T y los niveles de Asegúrese de que los productos, servicios y niveles de servicio de I&T
servicio con las necesidades y expectativas de la empresa, incluida la satisfagan las necesidades empresariales actuales y futuras.
identificación, especificación, diseño, publicación, acuerdo y monitoreo
de productos y servicios de I&T, niveles de servicio e indicadores de
rendimiento.

Gestión Alinear, planificar y organizar APO10 Proveedores administrados Administre productos y servicios relacionados con I&T proporcionados Optimice las capacidades de I&T disponibles para respaldar la estrategia
por todo tipo de proveedores para cumplir con los requisitos y la hoja de ruta de I&T, minimice el riesgo asociado con proveedores
empresariales. Esto incluye la búsqueda y selección de proveedores, la que no cumplen o no cumplen, y garantiza precios competitivos.
gestión de relaciones, la gestión de contratos y la revisión y el
seguimiento del rendimiento del proveedor y el ecosistema de
proveedores (incluida la cadena de suministro ascendente) para
comprobar la eficacia y el cumplimiento.

Gestión Alinear, planificar y organizar APO11 Calidad gestionada Definir y comunicar los requisitos de calidad en todos los procesos, Asegurar la entrega constante de soluciones y servicios tecnológicos
procedimientos y resultados empresariales relacionados. Habilite los para cumplir con los requisitos de calidad de la empresa y satisfacer las
controles, el monitoreo continuo y el uso de prácticas y estándares necesidades de las partes interesadas.
comprobados en los esfuerzos de mejora continua y eficiencia.

Gestión Alinear, planificar y organizar APO12 Riesgo gestionado Identifique, evalúe y reduzca continuamente el riesgo relacionado con Integre la gestión del riesgo empresarial relacionado con la I&T con la
I&T dentro de los niveles de tolerancia establecidos por la dirección gestión general del riesgo empresarial (ERM) y equilibre los costos y
ejecutiva de la empresa. beneficios de la gestión del riesgo empresarial relacionado con la I&T.

Gestión Alinear, planificar y organizar APO13 Seguridad administrada Definir, operar y monitorear un sistema de seguridad de la información. Mantenga el impacto y la ocurrencia de incidentes de privacidad de
seguridad de la información dentro de los niveles de apetito por el
riesgo de la empresa.
Gestión Alinear, planificar y organizar APO14 Datos gestionados Logre y mantenga una gestión eficaz de los activos de datos Garantice la utilización eficaz de los activos de datos críticos para lograr
empresariales a lo largo del ciclo de vida de los datos, desde la creación las metas y objetivos empresariales.
hasta la entrega, el mantenimiento y el archivo.

Page 4
Gestión Construir, adquirir e BAI01 Programas administrados Gestione todos los programas de la cartera de inversiones en Obtenga el valor comercial deseado y reduzca el riesgo de demoras
implementar consonancia con la estrategia empresarial y de forma coordinada, sobre inesperadas, costos y erosión del valor. Para hacerlo, mejore las
la base de un enfoque estándar de gestión de programas. Iniciar, comunicaciones y la participación de las empresas y los usuarios finales,
planificar, controlar y ejecutar programas y monitorear el valor esperado asegure el valor y la calidad de los entregables del programa y el
del programa. seguimiento de los proyectos dentro de los programas, y maximice la
contribución del programa a la cartera de inversiones.

Gestión Construir, adquirir e BAI02 Definición de requisitos gestionados Identifique soluciones y analice los requisitos antes de la adquisición o Cree soluciones óptimas que satisfagan las necesidades de la empresa y
implementar creación para asegurarse de que se alineen con los requisitos minimicen el riesgo.
estratégicos de la empresa que cubren los procesos comerciales, las
aplicaciones, la información/los datos, la infraestructura y los servicios.
Coordinar la revisión de las opciones factibles con las partes interesadas
afectadas, incluidos los costos y beneficios relativos, el análisis de
riesgos y la aprobación de los requisitos y las soluciones propuestas.

Gestión Construir, adquirir e BAI03 Identificación y creación de soluciones administradas Establecer y mantener productos y servicios identificados (tecnología, Garantice una entrega ágil y escalable de productos y servicios digitales.
implementar procesos comerciales y flujos de trabajo) en línea con los requisitos Establecer soluciones oportunas y rentables (tecnología, procesos
empresariales que cubren el diseño, el desarrollo, la comerciales y flujos de trabajo) capaces de respaldar los objetivos
adquisición/abastecimiento y la asociación con proveedores. Gestione la estratégicos y operativos de la empresa.
configuración, la preparación de pruebas, las pruebas, la gestión de
requisitos y el mantenimiento de procesos comerciales, aplicaciones,
información/datos, infraestructura y servicios.

Gestión Construir, adquirir e BAI04 Disponibilidad y capacidad gestionadas Equilibre las necesidades actuales y futuras de disponibilidad, Mantenga la disponibilidad del servicio, la gestión eficiente de los
implementar rendimiento y capacidad con una prestación de servicios rentable. recursos y la optimización del rendimiento del sistema a través de la
Incluya la evaluación de las capacidades actuales, la previsión de las predicción de los requisitos futuros de rendimiento y capacidad.
necesidades futuras en función de los requisitos comerciales, el análisis
de los impactos comerciales y la evaluación de riesgos para planificar e
implementar acciones para cumplir con los requisitos identificados.

Gestión Construir, adquirir e BAI05 Cambio Organizacional Gestionado Maximice la probabilidad de implementar con éxito un cambio Prepare y comprometa a las partes interesadas para el cambio
implementar organizativo sostenible en toda la empresa de forma rápida y con un empresarial y reduzca el riesgo de fracaso.
riesgo reducido. Cubrir el ciclo de vida completo del cambio y todas las
partes interesadas afectadas en el negocio y TI.

Gestión Construir, adquirir e BAI06 Cambios de TI gestionados Administre todos los cambios de manera controlada, incluidos los Habilite la entrega rápida y confiable de cambios a la empresa. Mitigar el
implementar cambios estándar y el mantenimiento de emergencia relacionados con riesgo de impactar negativamente en la estabilidad o integridad del
los procesos comerciales, las aplicaciones y la infraestructura. Esto entorno modificado.
incluye estándares y procedimientos de cambio, evaluación de impacto,
priorización y autorización, cambios de emergencia, seguimiento,
informes, cierre y documentación.

Gestión Construir, adquirir e BAI07 Transición y aceptación de cambios de TI gestionados Aceptar formalmente y hacer operativas las nuevas soluciones. Incluya Implementar soluciones de forma segura y en línea con las expectativas
implementar la planificación de la implementación, la conversión de sistemas y datos, y los resultados acordados.
las pruebas de aceptación, la comunicación, la preparación de la versión,
la promoción a la producción de procesos comerciales y servicios de I&T
nuevos o modificados, soporte de producción inicial y una revisión
posterior a la implementación.

Gestión Construir, adquirir e BAI08 Conocimiento gestionado Mantener la disponibilidad de conocimiento e información de gestión Proporcionar el conocimiento y la información necesarios para apoyar a
implementar relevante, actual, validada y confiable para respaldar todas las todo el personal en el gobierno y la gestión de la I&T empresarial y
actividades del proceso y facilitar la toma de decisiones relacionadas con permitir la toma de decisiones informada.
el gobierno y la gestión de la I&T empresarial. Plan para la identificación,
recopilación, organización, mantenimiento, uso y retiro del
conocimiento.

Gestión Construir, adquirir e BAI09 Activos administrados Administre los activos de I&T a lo largo de su ciclo de vida para Contabilice todos los activos de I&T y optimice el valor proporcionado
implementar asegurarse de que su uso brinde valor a un costo óptimo, permanezcan por su uso.
operativos (adecuados para el propósito) y se contabilicen y protejan
físicamente. Asegúrese de que los activos que son críticos para respaldar
la capacidad del servicio sean confiables y estén disponibles. Administre
las licencias de software para garantizar que se adquiera, retenga e
implemente el número óptimo en relación con el uso comercial
requerido, y que el software instalado cumpla con los acuerdos de
licencia.

Gestión Construir, adquirir e BAI10 Configuración administrada Defina y mantenga descripciones y relaciones entre los recursos y Proporcione suficiente información sobre los activos del servicio para
implementar capacidades clave necesarios para brindar servicios habilitados para I&T. permitir que el servicio se gestione de manera eficaz. Evaluar el impacto
Incluya la recopilación de información de configuración, el de los cambios y tratar las incidencias del servicio.
establecimiento de líneas base, la verificación y auditoría de la
información de configuración y la actualización del depósito de
configuración.

Page 5
Gestión Construir, adquirir e BAI11 Proyectos gestionados Gestionar todos los proyectos que se inician dentro de la empresa en Obtenga resultados definidos del proyecto y reduzca el riesgo de
implementar consonancia con la estrategia empresarial y de forma coordinada basada retrasos inesperados, costos y erosión del valor al mejorar las
en el enfoque estándar de gestión de proyectos. Iniciar, planificar, comunicaciones y la participación de la empresa y los usuarios finales.
controlar y ejecutar proyectos, y cerrar con una revisión posterior a la Asegurar el valor y la calidad de los entregables del proyecto y
implementación. maximizar su contribución a los programas definidos y la cartera de
inversiones.

Gestión Entrega, Servicio y Soporte DSS01 Operaciones administradas Coordinar y ejecutar las actividades y procedimientos operativos Entregar resultados de servicios y productos operativos de I&T según lo
requeridos para brindar servicios de I&T internos y subcontratados. planeado.
Incluir la ejecución de procedimientos operativos estándar predefinidos
y las actividades de seguimiento requeridas.

Gestión Entrega, Servicio y Soporte DSS02 Solicitudes e incidentes de servicios gestionados Dar respuesta oportuna y eficaz a las solicitudes de los usuarios y Logre una mayor productividad y minimice las interrupciones mediante
resolución de todo tipo de incidencias. Restaurar el servicio normal; la resolución rápida de consultas e incidentes de los usuarios. Evaluar el
registrar y cumplir con las solicitudes de los usuarios; y registrar, impacto de los cambios y tratar las incidencias del servicio. Resolver
investigar, diagnosticar, escalar y resolver incidentes. solicitudes de usuarios y restaurar el servicio en respuesta a incidentes.

Gestión Entrega, Servicio y Soporte DSS03 Problemas gestionados Identificar y clasificar los problemas y sus causas fundamentales. Aumente la disponibilidad, mejore los niveles de servicio, reduzca
Proporcionar una resolución oportuna para evitar incidentes costos, mejore la comodidad y satisfacción del cliente al reducir la
recurrentes. Proporcionar recomendaciones para mejoras. cantidad de problemas operativos e identifique las causas raíz como
parte de la resolución de problemas.

Gestión Entrega, Servicio y Soporte DSS04 Continuidad gestionada Establezca y mantenga un plan para permitir que las organizaciones
comerciales y de TI respondan a incidentes y se adapten rápidamente a
las interrupciones. Esto permitirá operaciones continuas de procesos
comerciales críticos y servicios de I&T requeridos y mantendrá la
disponibilidad de recursos, activos e información a un nivel aceptable
para la empresa.
Adáptese rápidamente, continúe con las operaciones comerciales y
mantenga la disponibilidad de recursos e información a un nivel
aceptable para la empresa en caso de una interrupción significativa (por
ejemplo, amenazas, oportunidades, demandas).

Gestión Entrega, Servicio y Soporte DSS05 Servicios de seguridad gestionados Proteger la información de la empresa para mantener el nivel de riesgo Minimice el impacto comercial de las vulnerabilidades e incidentes de
de seguridad de la información aceptable para la empresa de acuerdo seguridad de la información operativa.
con la política de seguridad. Establecer y mantener roles de seguridad
de la información y privilegios de acceso. Realizar monitoreo de
seguridad.

Gestión Entrega, Servicio y Soporte DSS06 Controles de procesos comerciales administrados Definir y mantener los controles de procesos comerciales apropiados Mantener la integridad de la información y la seguridad de los activos de
para garantizar que la información relacionada y procesada por procesos información manejados dentro de los procesos comerciales en la
comerciales internos o subcontratados satisfaga todos los requisitos de empresa o su operación subcontratada.
control de información relevantes. Identificar los requisitos de control
de información relevantes. Administrar y operar controles adecuados de
entrada, rendimiento y salida (controles de aplicación) para garantizar
que la información y el procesamiento de la información satisfagan estos
requisitos.

Gestión Monitorear, Evaluar y Valorar MEA01 Supervisión gestionada del rendimiento y la conformidad Recopile, valide y evalúe los objetivos y métricas empresariales y de Brindar transparencia de desempeño y conformidad e impulsar el logro
alineación. Supervise que los procesos y las prácticas se estén de objetivos.
desempeñando frente a los objetivos y métricas de rendimiento y
conformidad acordados. Proporcionar informes que sean sistemáticos y
oportunos.

Gestión Monitorear, Evaluar y Valorar MEA02 Sistema Administrado de Control Interno Supervise y evalúe continuamente el entorno de control, incluidas las
autoevaluaciones y la autoconciencia. Permita que la gerencia
identifique las deficiencias e ineficiencias del control e inicie acciones de
mejora. Planificar, organizar y mantener estándares para la evaluación
del control interno y la eficacia del control de procesos.
Obtener transparencia para las partes interesadas clave sobre la
adecuación del sistema de controles internos y así brindar confianza en
las operaciones, confianza en el logro de los objetivos de la empresa y
una comprensión adecuada del riesgo residual.

Gestión Monitorear, Evaluar y Valorar MEA03 Cumplimiento gestionado de requisitos externos Evaluar que los procesos de I&T y los procesos comerciales respaldados Asegúrese de que la empresa cumpla con todos los requisitos externos
por I&T cumplan con las leyes, los reglamentos y los requisitos aplicables.
contractuales. Obtener seguridad de que los requisitos han sido
identificados y cumplidos; integre el cumplimiento de TI con el
cumplimiento general de la empresa.

Gestión Monitorear, Evaluar y Valorar MEA04 Garantía administrada Planifique, alcance y ejecute iniciativas de aseguramiento para cumplir
con los requisitos internos, las leyes, los reglamentos y los objetivos
estratégicos. Permita que la gerencia proporcione un aseguramiento
adecuado y sostenible en la empresa mediante la realización de
revisiones y actividades de aseguramiento independientes.
Permita que la organización diseñe y desarrolle iniciativas de
aseguramiento eficientes y efectivas, brindando orientación sobre la
planificación, el alcance, la ejecución y el seguimiento de las revisiones
de aseguramiento, utilizando una hoja de ruta basada en enfoques de
aseguramiento bien aceptados.

Page 6
A continuación se enumeran las prácticas asociadas con cada uno de los objetivos de gobierno y gestión en COBIT® 2019
Las prácticas están ordenadas en el orden en que aparecen enCOBIT® Marco 2019: Gobernanza y Objetivos de Gestión.

Objetivos: 40
Prácticas: 231
Área Dominio ID de objetivo Objetivo Descripción del objetivo

Gobernancia Evaluar, EDM01 Establecimiento y Analizar y articular los requisitos para

Dirigir y mantenimiento del la gobernanza de la I&T empresarial.
Monitorear marco de gobernanza Establecer y mantener componentes
garantizado de gobierno con claridad de autoridad
y responsabilidades para lograr la
misión, las metas y los objetivos de la
empresa.

7
Gobernancia Evaluar, EDM02 Entrega de beneficios Optimice el valor para el negocio de
Dirigir y garantizados las inversiones en procesos
Monitorear comerciales, servicios de I&T y activos
de I&T.

8
Gobernancia Evaluar, EDM03 Optimización de riesgos Asegúrese de que el apetito y la
Dirigir y asegurada tolerancia al riesgo de la empresa se
Monitorear entiendan, articulen y comuniquen, y
que el riesgo para el valor de la
empresa relacionado con el uso de I&T
se identifique y gestione.

Gobernancia Evaluar, EDM04 Optimización de Asegúrese de que los recursos

Dirigir y recursos asegurada comerciales y relacionados con I&T
Monitorear (personas, procesos y tecnología)
adecuados y suficientes estén
disponibles para respaldar los
objetivos de la empresa de manera
efectiva y a un costo óptimo.

9
Gobernancia Evaluar, EDM05 Compromiso asegurado Asegúrese de que las partes
Dirigir y de las partes interesadas estén identificadas y
Monitorear interesadas comprometidas con el sistema de
gobierno de I&T y que la medición y
los informes de cumplimiento y
rendimiento de I&T de la empresa
sean transparentes, con las partes
interesadas aprobando los objetivos y
las métricas y las acciones correctivas
necesarias.

10
Gestión Alinear, APO01 Marco de gestión de Diseñe el sistema de gestión para I&T
planificar y I&T gestionado empresarial en función de los
organizar objetivos empresariales y otros
factores de diseño. Sobre la base de
este diseño, implementar todos los
componentes necesarios del sistema
de gestión.

11
12
13
Gestión Alinear, APO02 Estrategia gestionada Proporcione una visión holística del
planificar y entorno empresarial y de I&T actual, la
organizar dirección futura y las iniciativas
necesarias para migrar al entorno
futuro deseado. Asegúrese de que el
nivel deseado de digitalización sea
parte integral de la dirección futura y
la estrategia de I&T. Evaluar la
madurez digital actual de la
organización y desarrollar una hoja de
ruta para cerrar las brechas. Con el
negocio, reconsidere las operaciones
internas, así como las actividades de
cara al cliente. Asegure el enfoque en
el viaje de transformación en toda la
organización. Aproveche los
componentes básicos de la
arquitectura empresarial, los
componentes de gobierno y el
ecosistema de la organización,
incluidos los servicios proporcionados
externamente y las capacidades
relacionadas, para permitir una
respuesta confiable pero ágil y
eficiente a los objetivos estratégicos.

14
15
Gestión Alinear, APO03 Arquitectura Establecer una arquitectura común
planificar y empresarial gestionada que consista en capas de arquitectura
organizar de procesos comerciales, información,
datos, aplicaciones y tecnología. Cree
modelos y prácticas clave que
describan las arquitecturas de
referencia y de destino, en línea con la
estrategia empresarial y de I&T. Defina
los requisitos para la taxonomía, las
normas, las directrices, los
procedimientos, las plantillas y las
herramientas, y proporcione un
vínculo para estos componentes.
Mejore la alineación, aumente la
agilidad, mejore la calidad de la
información y genere posibles ahorros
de costos a través de iniciativas como
la reutilización de componentes
básicos.

16
17
Gestión Alinear, APO04 Innovación Gestionada Mantener un conocimiento de I&T y
planificar y las tendencias de servicios
organizar relacionados y monitorear las
tendencias tecnológicas emergentes.
Identificar de manera proactiva
oportunidades de innovación y
planificar cómo beneficiarse de la
innovación en relación con las
necesidades comerciales y la
estrategia de I&T definida. Analizar
qué oportunidades para la innovación
o mejora empresarial pueden crearse
mediante tecnologías emergentes,
servicios o innovación empresarial
habilitada por I&T; a través de
tecnologías establecidas existentes; y
por la innovación de procesos de
negocio y TI. Influir en las decisiones
de planificación estratégica y
arquitectura empresarial.

18
19
Gestión Alinear, APO05 Portafolio Administrado Ejecutar la dirección estratégica
planificar y establecida para las inversiones en
organizar línea con la visión de la arquitectura
empresarial y la hoja de ruta de I&T.
Considere las diferentes categorías de
inversiones y las limitaciones de
recursos y financiamiento. Evaluar,
priorizar y equilibrar programas y
servicios, gestionando la demanda
dentro de las limitaciones de recursos
y financiación, en función de su
alineación con los objetivos
estratégicos, el valor y el riesgo de la
empresa. Mueva los programas
seleccionados a la cartera de
productos o servicios activos para su
ejecución. Supervisar el desempeño
de la cartera general de productos,
servicios y programas, proponiendo
ajustes según sea necesario en
respuesta al desempeño del
programa, producto o servicio o
cambiando las prioridades de la
empresa.

20
Gestión Alinear, APO06 Presupuesto y costos Administrar las actividades financieras
planificar y administrados relacionadas con I&T tanto en las
organizar funciones comerciales como de TI,
cubriendo el presupuesto, la gestión
de costos y beneficios y la priorización
de gastos mediante el uso de prácticas
presupuestarias formales y un sistema
justo y equitativo de asignación de
costos a la empresa. Consultar a las
partes interesadas para identificar y
controlar los costos y beneficios
totales dentro del contexto de los
planes estratégicos y tácticos de I&T.
Iniciar acciones correctivas cuando sea
necesario.

21
Gestión Alinear, APO07 Recursos Humanos Proporcionar un enfoque estructurado
planificar y Administrados para garantizar una
organizar contratación/adquisición,
planificación, evaluación y desarrollo
óptimos de los recursos humanos
(tanto internos como externos).

22
23
Gestión Alinear, APO08 Relaciones Gestione las relaciones con las partes
planificar y administradas interesadas del negocio de una
organizar manera formalizada y transparente
que asegure la confianza mutua y un
enfoque combinado en el logro de los
objetivos estratégicos dentro de las
limitaciones de los presupuestos y la
tolerancia al riesgo. Base las relaciones
en una comunicación abierta y
transparente, un lenguaje común y la
voluntad de asumir la propiedad y la
responsabilidad de las decisiones clave
de ambas partes. El negocio y TI deben
trabajar juntos para crear resultados
empresariales exitosos que respalden
los objetivos de la empresa.

24
Gestión Alinear, APO09 Acuerdos de servicios Alinee los productos y servicios
planificar y gestionados habilitados para I&T y los niveles de
organizar servicio con las necesidades y
expectativas de la empresa, incluida la
identificación, especificación, diseño,
publicación, acuerdo y monitoreo de
productos y servicios de I&T, niveles
de servicio e indicadores de
rendimiento.

25
Gestión Alinear, APO10 Proveedores Administre productos y servicios
planificar y administrados relacionados con I&T proporcionados
organizar por todo tipo de proveedores para
cumplir con los requisitos
empresariales. Esto incluye la
búsqueda y selección de proveedores,
la gestión de relaciones, la gestión de
contratos y la revisión y el seguimiento
del rendimiento del proveedor y el
ecosistema de proveedores (incluida la
cadena de suministro ascendente)
para comprobar la eficacia y el
cumplimiento.

26
Gestión Alinear, APO11 Calidad gestionada Definir y comunicar los requisitos de
planificar y calidad en todos los procesos,
organizar procedimientos y resultados
empresariales relacionados. Habilite
los controles, el monitoreo continuo y
el uso de prácticas y estándares
comprobados en los esfuerzos de
mejora continua y eficiencia.

27
Gestión Alinear, APO12 Riesgo gestionado Identifique, evalúe y reduzca
planificar y continuamente el riesgo relacionado
organizar con I&T dentro de los niveles de
tolerancia establecidos por la
dirección ejecutiva de la empresa.

28
Gestión Alinear, APO13 Seguridad administrada Definir, operar y monitorear un
planificar y sistema para la gestión de la seguridad
organizar y privacidad de la información.

Gestión Alinear, APO14 Datos gestionados Logre y mantenga una gestión eficaz
planificar y de los activos de datos empresariales a
organizar lo largo del ciclo de vida de los datos,
desde la creación hasta la entrega, el
mantenimiento y el archivo.

29
30
Gestión Construir, BAI01 Programas Gestione todos los programas de la
adquirir e administrados cartera de inversiones en consonancia
implementar con la estrategia empresarial y de
forma coordinada, sobre la base de un
enfoque estándar de gestión de
programas. Iniciar, planificar, controlar
y ejecutar programas y monitorear el
valor esperado del programa.

31
32
33
Gestión Construir, BAI02 Definición de requisitos Identifique soluciones y analice los
adquirir e gestionados requisitos antes de la adquisición o
implementar creación para asegurarse de que se
alineen con los requisitos estratégicos
de la empresa que cubren los procesos
comerciales, las aplicaciones, la
información/los datos, la
infraestructura y los servicios.
Coordinar la revisión de las opciones
factibles con las partes interesadas
afectadas, incluidos los costos y
beneficios relativos, el análisis de
riesgos y la aprobación de los
requisitos y las soluciones propuestas.

34
Gestión Construir, BAI03 Identificación y Establecer y mantener productos y
adquirir e creación de soluciones servicios identificados (tecnología,
implementar administradas procesos comerciales y flujos de
trabajo) en línea con los requisitos
empresariales que cubren el diseño, el
desarrollo, la
adquisición/abastecimiento y la
asociación con proveedores. Gestione
la configuración, la preparación de
pruebas, las pruebas, la gestión de
requisitos y el mantenimiento de
procesos comerciales, aplicaciones,
información/datos, infraestructura y
servicios.

35
36
37
Gestión Construir, BAI04 Disponibilidad y Equilibre las necesidades actuales y
adquirir e capacidad gestionadas futuras de disponibilidad, rendimiento
implementar y capacidad con una prestación de
servicios rentable. Incluya la
evaluación de las capacidades
actuales, la previsión de las
necesidades futuras en función de los
requisitos comerciales, el análisis de
los impactos comerciales y la
evaluación de riesgos para planificar e
implementar acciones para cumplir
con los requisitos identificados.

38
Gestión Construir, BAI05 Cambio Organizacional Maximice la probabilidad de
adquirir e Gestionado implementar con éxito un cambio
implementar organizativo sostenible en toda la
empresa de forma rápida y con un
riesgo reducido. Cubrir el ciclo de vida
completo del cambio y todas las
partes interesadas afectadas en el
negocio y TI.

39
Gestión Construir, BAI06 Cambios de TI Administre todos los cambios de
adquirir e gestionados manera controlada, incluidos los
implementar cambios estándar y el mantenimiento
de emergencia relacionados con los
procesos comerciales, las aplicaciones
y la infraestructura. Esto incluye
estándares y procedimientos de
cambio, evaluación de impacto,
priorización y autorización, cambios de
emergencia, seguimiento, informes,
cierre y documentación.

40
Gestión Construir, BAI07 Transición y aceptación Aceptar formalmente y hacer
adquirir e de cambios de TI operativas las nuevas soluciones.
implementar gestionados Incluya la planificación de la
implementación, la conversión de
sistemas y datos, las pruebas de
aceptación, la comunicación, la
preparación de la versión, la
promoción a la producción de
procesos comerciales y servicios de
I&T nuevos o modificados, soporte de
producción inicial y una revisión
posterior a la implementación.

41
42
Gestión Construir, BAI08 Conocimiento Mantener la disponibilidad de
adquirir e gestionado conocimiento e información de
implementar gestión relevante, actual, validada y
confiable para respaldar todas las
actividades del proceso y facilitar la
toma de decisiones relacionadas con
el gobierno y la gestión de la I&T
empresarial. Plan para la
identificación, recopilación,
organización, mantenimiento, uso y
retiro del conocimiento.

43
Gestión Construir, BAI09 Activos administrados Administre los activos de I&T a lo largo
adquirir e de su ciclo de vida para asegurarse de
implementar que su uso brinde valor a un costo
óptimo, permanezcan operativos
(adecuados para el propósito) y se
contabilicen y protejan físicamente.
Asegúrese de que los activos que son
críticos para respaldar la capacidad del
servicio sean confiables y estén
disponibles. Administre las licencias de
software para garantizar que se
adquiera, retenga e implemente el
número óptimo en relación con el uso
comercial requerido, y que el software
instalado cumpla con los acuerdos de
licencia.

44
Gestión Construir, BAI10 Configuración Defina y mantenga descripciones y
adquirir e administrada relaciones entre los recursos y
implementar capacidades clave necesarios para
brindar servicios habilitados para I&T.
Incluya la recopilación de información
de configuración, el establecimiento
de líneas base, la verificación y
auditoría de la información de
configuración y la actualización del
depósito de configuración.

45
Gestión Construir, BAI11 Proyectos gestionados Gestionar todos los proyectos que se
adquirir e inician dentro de la empresa en
implementar consonancia con la estrategia
empresarial y de forma coordinada
basada en el enfoque estándar de
gestión de proyectos. Iniciar,
planificar, controlar y ejecutar
proyectos, y cerrar con una revisión
posterior a la implementación.

46
47
Gestión Entrega, DSS01 Operaciones Coordinar y ejecutar las actividades y
Servicio y administradas procedimientos operativos requeridos
Soporte para brindar servicios de I&T internos
y subcontratados. Incluir la ejecución
de procedimientos operativos
estándar predefinidos y las actividades
de seguimiento requeridas.

48
Gestión Entrega, DSS02 Solicitudes e incidentes Dar respuesta oportuna y eficaz a las
Servicio y de servicios solicitudes de los usuarios y resolución
Soporte gestionados de todo tipo de incidencias. Restaurar
el servicio normal; registrar y cumplir
con las solicitudes de los usuarios; y
registrar, investigar, diagnosticar,
escalar y resolver incidentes.

49
Gestión Entrega, DSS03 Problemas gestionados Identificar y clasificar los problemas y
Servicio y sus causas fundamentales.
Soporte Proporcionar una resolución oportuna
para evitar incidentes recurrentes.
Proporcionar recomendaciones para
mejoras.

50
Gestión Entrega, DSS04 Continuidad gestionada Establezca y mantenga un plan para
Servicio y permitir que las organizaciones
Soporte comerciales y de TI respondan a
incidentes y se adapten rápidamente a
las interrupciones. Esto permitirá
operaciones continuas de procesos
comerciales críticos y servicios de I&T
requeridos y mantendrá la
disponibilidad de recursos, activos e
información a un nivel aceptable para
la empresa.

51
Gestión Entrega, DSS05 Servicios de seguridad Proteger la información de la empresa p
Servicio y gestionados
Soporte

52
53
Gestión Entrega, DSS06 Controles de procesos Definir y mantener los controles de
Servicio y comerciales procesos comerciales apropiados para
Soporte administrados garantizar que la información
relacionada y procesada por procesos
comerciales internos o subcontratados
satisfaga todos los requisitos de
control de información relevantes.
Identificar los requisitos de control de
información relevantes. Administrar y
operar controles adecuados de
entrada, rendimiento y salida
(controles de aplicación) para
garantizar que la información y el
procesamiento de la información
satisfagan estos requisitos.

54
55
Gestión Monitorear, MEA01 Supervisión gestionada Recopile, valide y evalúe los objetivos
Evaluar y del rendimiento y la y métricas empresariales y de
Valorar conformidad alineación. Supervise que los procesos
y las prácticas se estén desempeñando
frente a los objetivos y métricas de
rendimiento y conformidad
acordados. Proporcionar informes que
sean sistemáticos y oportunos.

56
Gestión Monitorear, MEA02 Sistema Administrado Supervise y evalúe continuamente el
Evaluar y de Control Interno entorno de control, incluidas las
Valorar autoevaluaciones y la autoconciencia.
Permita que la gerencia identifique las
deficiencias e ineficiencias del control
e inicie acciones de mejora. Planificar,
organizar y mantener estándares para
la evaluación del control interno y la
eficacia del control de procesos.

57
Gestión Monitorear, MEA03 Cumplimiento Evaluar que los procesos de I&T y los
Evaluar y gestionado de procesos comerciales respaldados por
Valorar requisitos externos I&T cumplan con las leyes, los
reglamentos y los requisitos
contractuales. Obtener seguridad de
que los requisitos han sido
identificados y cumplidos; integre el
cumplimiento de TI con el
cumplimiento general de la empresa.

58
Gestión Monitorear, MEA04 Garantía administrada Planifique, alcance y ejecute iniciativas
Evaluar y de aseguramiento para cumplir con los
Valorar requisitos internos, las leyes, los
reglamentos y los objetivos
estratégicos. Permita que la gerencia
proporcione un aseguramiento
adecuado y sostenible en la empresa
mediante la realización de revisiones y
actividades de aseguramiento
independientes.

59
60
tivos de gobierno y gestión en COBIT® 2019.
2019: Gobernanza y Objetivos de Gestión.

Declaración de propósito objetivo Identificación de prá Nombre de la Descripción de la práctica

práctica

Proporcionar un enfoque coherente EDM01.01 Evaluar el sistema Identifique e interactúe continuamente con las partes
integrado y alineado con el enfoque de de gobierno. interesadas de la empresa, documente la comprensión
gobierno empresarial. Las decisiones de los requisitos y evalúe el diseño actual y futuro de la
relacionadas con I&T se toman de acuerdo gobernanza de la I&T de la empresa.
con las estrategias y objetivos de la
empresa y se logra el valor deseado. Con
ese fin, garantizar que los procesos
relacionados con I&T se supervisen de
manera efectiva y transparente; se
confirma el cumplimiento de los requisitos
legales, contractuales y reglamentarios; y se
cumplen los requisitos de gobierno para los
miembros de la junta.

EDM01.02 Dirigir el sistema Informar a los líderes sobre los principios de gobierno de
de gobierno. I&T y obtener su apoyo, aceptación y compromiso. Guiar
las estructuras, los procesos y las prácticas para la
gobernanza de I&T de acuerdo con los principios de
gobernanza acordados, los modelos de toma de
decisiones y los niveles de autoridad. Definir la
información requerida para la toma de decisiones
informadas.

61
 EDM01.03
Asegure el valor óptimo de las iniciativas, EDM02.01
los servicios y los activos habilitados por
I&T; entrega rentable de soluciones y
servicios; y una imagen confiable y precisa
de los costos y los beneficios probables
para que las necesidades comerciales se
respalden de manera efectiva y eficiente.
EDM02.02
EDM02.03
EDM02.04
Supervisar el Supervisar la eficacia y el rendimiento del gobierno de
sistema de I&T de la empresa. Evaluar si el sistema de gobierno y los
gobierno. mecanismos implementados (incluidas las estructuras,
los principios y los procesos) funcionan de manera
efectiva y brindan una supervisión adecuada de I&T para
permitir la creación de valor.
Establecer la Revisar y garantizar la claridad de las estrategias
combinación de empresariales y de I&T y los servicios actuales. Defina
inversiones una combinación de inversiones adecuada en función
objetivo. del costo, la alineación con la estrategia, el tipo de
beneficio para los programas en la cartera, el grado de
riesgo y las medidas financieras, como el costo y el
retorno esperado de la inversión (ROI) durante el ciclo
de vida económico completo. Ajuste las estrategias
empresariales y de I&T cuando sea necesario.
Evaluar la Evalúe continuamente la cartera de inversiones,
optimización del servicios y activos habilitados para I&T para determinar
valor. la probabilidad de alcanzar los objetivos empresariales y
generar valor. Identificar y evaluar cualquier cambio en
la dirección de la gestión que optimizará la creación de
valor.
Optimización de Principios y prácticas de gestión de valor directo para
valor directo. permitir la realización de valor óptimo de las inversiones
habilitadas por I&T a lo largo de su ciclo de vida
económico completo.
Optimización del Supervise los objetivos y las métricas clave para
valor del monitor. determinar si la empresa recibe el valor esperado y se
beneficia de las inversiones y los servicios habilitados
para I&T. Identificar problemas significativos y
considerar acciones correctivas.
62
Asegúrese de que el riesgo empresarial EDM03.01
relacionado con I&T no supere el apetito
por el riesgo y la tolerancia al riesgo de la
empresa, que se identifique y gestione el
impacto del riesgo de I&T en el valor de la
empresa y que se minimice el potencial de
fallas en el cumplimiento.
EDM03.02
EDM03.03
Asegúrese de que las necesidades de EDM04.01
recursos de la empresa se satisfagan de
manera óptima, los costos de I&T estén
optimizados y haya una mayor probabilidad
de realización de beneficios y preparación
para cambios futuros.
EDM04.02
EDM04.03
Evaluar la gestión Examinar y evaluar continuamente el efecto del riesgo
de riesgos. en el uso actual y futuro de I&T en la empresa.
Considere si el apetito por el riesgo de la empresa es
apropiado y asegúrese de que se identifique y gestione
el riesgo para el valor de la empresa relacionado con el
uso de I&T.
Gestión directa de Dirigir el establecimiento de prácticas de gestión de
riesgos. riesgos para proporcionar una seguridad razonable de
que las prácticas de gestión de riesgos de I&T son
apropiadas y que el riesgo real de I&T no supera el
apetito de riesgo de la junta.
Supervisar la Supervisar los objetivos y métricas clave de los procesos
gestión de riesgos. de gestión de riesgos. Determine cómo se identificarán,
rastrearán y notificarán las desviaciones o los problemas
para su corrección.
Evaluar la gestión Examinar y evaluar continuamente la necesidad actual y
de recursos. futura de recursos comerciales y de I&T (financieros y
humanos), las opciones de recursos (incluidas las
estrategias de abastecimiento) y los principios de
asignación y gestión para satisfacer las necesidades de la
empresa de manera óptima.
Gestión directa de Garantizar la adopción de principios de gestión de
recursos. recursos para permitir el uso óptimo de los recursos
comerciales y de I&T a lo largo de su ciclo de vida
económico completo.
Supervisar la Supervisar los objetivos y métricas clave de los procesos
gestión de de gestión de recursos. Determine cómo se identificarán,
recursos. rastrearán y notificarán las desviaciones o los problemas
para su corrección.
63
Asegúrese de que las partes interesadas EDM05.01 Evaluar la Examinar y evaluar continuamente los requisitos
respalden la estrategia y la hoja de ruta de participación de actuales y futuros para la participación y los informes de
I&T, que la comunicación con las partes las partes las partes interesadas (incluidos los informes exigidos
interesadas sea efectiva y oportuna, y que interesadas y los por los requisitos reglamentarios) y la comunicación a
se establezca la base para la presentación requisitos de otras partes interesadas. Establecer principios para
de informes para aumentar el rendimiento. presentación de involucrar y comunicarse con las partes interesadas.
Identifique áreas de mejora y confirme que informes.
los objetivos y estrategias relacionados con
I&T están en línea con la estrategia de la
empresa.

EDM05.02 Participación Garantizar el establecimiento de una participación,

directa de las comunicación y presentación de informes efectiva de las
partes interesadas, partes interesadas, incluidos los mecanismos para
comunicación e garantizar la calidad y la integridad de la información, la
informes. supervisión de la notificación obligatoria y la creación de
una estrategia de comunicación para las partes
interesadas.

EDM05.03 Supervisar la Supervisar los niveles de participación de las partes

participación de interesadas y la eficacia de la comunicación con las
las partes partes interesadas. Evaluar los mecanismos para
interesadas. garantizar la precisión, la fiabilidad y la eficacia, y
determinar si se cumplen los requisitos de las diferentes
partes interesadas en términos de información y
comunicación.

64
Implementar un enfoque de gestión
consistente para cumplir con los requisitos
de gobierno corporativo, que abarque
componentes de gobierno como los
procesos de gestión; Estructuras
organizacionales; funciones y
responsabilidades; actividades confiables y
repetibles; artículos de información; Policias
y procedimientos; destrezas y
competencias; cultura y comportamiento; y
servicios, infraestructura y aplicaciones
APO01.01 Diseñar el sistema Diseñar un sistema de gestión a la medida de las
de gestión para necesidades de la empresa. Las necesidades de gestión
I&T empresarial. de la empresa se definen mediante el uso de la cascada
de objetivos y la aplicación de factores de diseño.
Asegúrese de que los componentes de gobierno estén
integrados y alineados con la filosofía de gobierno y
gestión y el estilo operativo de la empresa.

APO01.02 Comunicar los Comunique la conciencia y promueva la comprensión de

objetivos de la alineación y los objetivos de I&T a las partes
gestión, la interesadas en toda la empresa. Comunicarse a
dirección y las intervalos regulares sobre decisiones importantes
decisiones relacionadas con I&T y su impacto para la organización.
tomadas.

APO01.03 Implementar Defina los niveles de capacidad del proceso objetivo y la

procesos de prioridad de implementación en función del diseño del
gestión (para sistema de gestión.
apoyar el logro de
los objetivos de
gobierno y
gestión).

APO01.04 Definir e Establecer las estructuras organizacionales internas y

implementar las extendidas requeridas (por ejemplo, comités) según el
estructuras diseño del sistema de gestión, lo que permite una toma
organizacionales. de decisiones eficaz y eficiente. Garantizar que la
tecnología y el conocimiento de la información
necesarios se incluyan en la composición de las
estructuras de gestión.

65
APO01.05 Establecer roles y Defina y comunique las funciones y responsabilidades de
responsabilidades. la I&T empresarial, incluidos los niveles de autoridad, las
responsabilidades y la rendición de cuentas.

APO01.06 Optimizar la Posicionar las capacidades de TI en la estructura

ubicación de la organizativa general para reflejar la importancia
función de TI. estratégica y la dependencia operativa de TI dentro de la
empresa. La línea jerárquica del CIO y la representación
de TI dentro de la alta gerencia deben ser acordes con la
importancia de I&T dentro de la empresa.

APO01.07 Definir la Definir y mantener las responsabilidades de propiedad

información de la información (datos) y los sistemas de información.
(datos) y la Asegúrese de que los propietarios clasifiquen la
propiedad del información y los sistemas y los protejan de acuerdo con
sistema. su clasificación.

APO01.08 Definir habilidades Definir las habilidades y competencias necesarias para

y competencias alcanzar los objetivos de gestión pertinentes.
objetivo.

APO01.09 Definir y Implementar procedimientos para mantener el

comunicar cumplimiento y la medición del desempeño de las
políticas y políticas y otros componentes del marco de control.
procedimientos. Hacer cumplir las consecuencias del incumplimiento o
desempeño inadecuado. Realice un seguimiento de las
tendencias y el rendimiento y considérelos en el futuro
diseño y mejora del marco de control.

66
APO01.10 Definir e Definir e implementar infraestructura, servicios y
implementar aplicaciones para respaldar el sistema de gobierno y
infraestructura, gestión (p. ej., repositorios de arquitectura, sistema de
servicios y gestión de riesgos, herramientas de gestión de
aplicaciones para proyectos, herramientas de seguimiento de costos y
soportar el sistema herramientas de monitoreo de incidentes).
de gobierno y
gestión.

APO01.11 Gestionar la Mejorar continuamente los procesos y otros

mejora continua componentes del sistema de gestión para garantizar que
del sistema de puedan cumplir con los objetivos de gobierno y gestión.
gestión de I&T. Considere la guía de implementación de COBIT, los
estándares emergentes, los requisitos de cumplimiento,
las oportunidades de automatización y los comentarios
de las partes interesadas.

67
Apoye la estrategia de transformación APO02.01 Comprender el Comprender el contexto empresarial (impulsores de la
digital de la organización y entregue el valor contexto y la industria, regulaciones relevantes, base para la
deseado a través de una hoja de ruta de dirección de la competencia), su forma actual de trabajar y su nivel de
cambios incrementales. Utilice un enfoque empresa. ambición en términos de digitalización.
holístico de I&T, asegurándose de que cada
iniciativa esté claramente conectada con
una estrategia general. Habilite el cambio
en todos los diferentes aspectos de la
organización, desde canales y procesos
hasta datos, cultura, habilidades, modelo
operativo e incentivos.

APO02.02 Evaluar las Evaluar el desempeño de los servicios actuales de I&T y

capacidades desarrollar una comprensión de las capacidades
actuales, el comerciales y de I&T actuales (tanto internas como
rendimiento y la externas). Evaluar la madurez digital actual de la
madurez digital de empresa y su apetito por el cambio.
la empresa.

68
APO02.03 Definir las Con base en la comprensión del contexto y la dirección
capacidades de la empresa, defina los productos y servicios de I&T
digitales objetivo. objetivo y las capacidades requeridas. Considere
estándares de referencia, mejores prácticas y
tecnologías emergentes validadas.

APO02.04 Llevar a cabo un Identifique las brechas entre los entornos actuales y de
análisis de destino y describa los cambios de alto nivel en la
brechas. arquitectura empresarial.
APO02.05 Definir el plan Desarrolle una estrategia digital holística, en
estratégico y la cooperación con las partes interesadas relevantes, y
hoja de ruta. detalle una hoja de ruta que defina los pasos
incrementales necesarios para lograr las metas y
objetivos. Asegure el enfoque en el viaje de
transformación a través de la designación de una
persona que ayude a encabezar la transformación digital
e impulse la alineación entre el negocio y la I&T.

APO02.06 Comunicar la Crear conciencia y comprensión de los objetivos y la

estrategia y dirección del negocio y de I&T, tal como se capturan en
dirección de I&T. la estrategia de I&T, a través de la comunicación con las
partes interesadas y los usuarios apropiados en toda la
empresa.

69
Representar los diferentes componentes APO03.01
básicos que componen la empresa y sus
interrelaciones, así como los principios que
guían su diseño y evolución a lo largo del
tiempo, para permitir una entrega estándar,
receptiva y eficiente de los objetivos
operativos y estratégicos.
APO03.02
Desarrollar la La visión de la arquitectura proporciona una descripción
visión de la de alto nivel de primer corte de las arquitecturas de
arquitectura referencia y de destino, que abarca los dominios de
empresarial. negocios, información, datos, aplicaciones y tecnología.
La visión de la arquitectura proporciona al patrocinador
una herramienta clave para vender los beneficios de las
capacidades propuestas a las partes interesadas dentro
de la empresa. La visión de la arquitectura describe
cómo las nuevas capacidades (en línea con la estrategia
y los objetivos de I&T) cumplirán las metas
empresariales y los objetivos estratégicos y abordarán
las preocupaciones de las partes interesadas cuando se
implementen.
Defina la La arquitectura de referencia describe las arquitecturas
arquitectura de actuales y de destino para los dominios de negocios,
referencia. información, datos, aplicaciones y tecnología.
70
APO03.03 Seleccionar Racionalice las brechas entre las arquitecturas de
oportunidades y referencia y de destino, teniendo en cuenta las
soluciones. perspectivas comerciales y técnicas, y agrúpelas
lógicamente en paquetes de trabajo del proyecto.
Integre el proyecto con cualquier programa de inversión
habilitado por I&T relacionado para garantizar que las
iniciativas arquitectónicas estén alineadas y habiliten
estas iniciativas como parte del cambio empresarial
general. Haga de esto un esfuerzo de colaboración con
las partes interesadas clave de la empresa de negocios y
TI para evaluar la preparación de transformación de la
empresa e identificar oportunidades, soluciones y todas
las restricciones de implementación.

APO03.04 Definir la Crear un plan viable de implementación y migración

implementación alineado con las carteras de programas y proyectos.
de la arquitectura. Asegúrese de que el plan esté estrechamente
coordinado para generar valor y que los recursos
necesarios estén disponibles para completar el trabajo
necesario.

APO03.05 Proporcionar Proporcione servicios de arquitectura empresarial

servicios de dentro de la empresa que incluyan orientación y
arquitectura monitoreo de proyectos de implementación, formalizar
empresarial. formas de trabajar a través de contratos de arquitectura
y medir y comunicar el valor de la arquitectura y el
monitoreo del cumplimiento.

71
Logre una ventaja competitiva, innovación APO04.01
empresarial, una mejor experiencia del
cliente y una mayor eficacia y eficiencia
operativas mediante la explotación de los
desarrollos de I&T y las tecnologías
emergentes.
APO04.02
Crear un entorno Cree un entorno propicio para la innovación,
propicio para la considerando métodos como la cultura, la recompensa,
innovación. la colaboración, los foros tecnológicos y los mecanismos
para promover y capturar las ideas de los empleados.
Mantener una Trabajar con las partes interesadas relevantes para
comprensión del comprender sus desafíos. Mantener una comprensión
entorno adecuada de la estrategia empresarial, el entorno
empresarial. competitivo y otras limitaciones, de modo que se
puedan identificar las oportunidades que brindan las
nuevas tecnologías.
72
APO04.03 Supervisar y Establezca un proceso de vigilancia tecnológica para
escanear el realizar un monitoreo y escaneo sistemáticos del
entorno entorno externo de la empresa para identificar
tecnológico. tecnologías emergentes que tengan el potencial de crear
valor (p. ej., mediante la realización de la estrategia
empresarial, la optimización de costos, la prevención de
la obsolescencia y una mejor habilitación de los procesos
empresariales y de I&T). ). Supervise el mercado, el
panorama competitivo, los sectores industriales y las
tendencias legales y reglamentarias para poder analizar
tecnologías emergentes o ideas de innovación en el
contexto empresarial.

APO04.04 Evaluar el Analizar las tecnologías emergentes identificadas y/u

potencial de las otras sugerencias innovadoras de I&T para comprender
tecnologías su potencial comercial. Trabajar con las partes
emergentes y las interesadas para validar los supuestos sobre el potencial
ideas innovadoras. de las nuevas tecnologías y la innovación.

APO04.05 Recomendar otras Evaluar y monitorear los resultados de las iniciativas de

iniciativas prueba de concepto y, si son favorables, generar
apropiadas. recomendaciones para futuras iniciativas. Obtener el
apoyo de las partes interesadas.

APO04.06 Monitorear la Supervisar la implementación y el uso de tecnologías e

implementación y innovaciones emergentes durante la adopción, la
el uso de la integración y durante todo el ciclo de vida económico
innovación. para garantizar que se obtengan los beneficios
prometidos e identificar las lecciones aprendidas.

73
Optimice el rendimiento de la cartera APO05.01
general de programas en respuesta al
rendimiento de programas, productos y
servicios individuales y a las cambiantes
prioridades y demanda de la empresa.
Determinar la Determine las posibles fuentes de fondos, las diferentes
disponibilidad y opciones de financiación y las implicaciones de la fuente
fuentes de fondos. de financiación en las expectativas de rendimiento de la
inversión.

APO05.02 Evaluar y Según los requisitos para la combinación general de la

seleccionar cartera de inversiones y el plan estratégico y la hoja de
programas para ruta de I&T, evalúe y priorice los casos comerciales del
financiar. programa y decida sobre las propuestas de inversión.
Asignar fondos e iniciar programas.

74
 APO05.03
APO05.04
APO05.05
Fomentar una asociación entre TI y las APO06.01
partes interesadas de la empresa para
permitir el uso eficaz y eficiente de los
recursos relacionados con I&T y brindar
transparencia y responsabilidad sobre el
costo y el valor comercial de las soluciones
y los servicios. Permita que la empresa
tome decisiones informadas con respecto al
uso de soluciones y servicios de I&T.
APO06.02
Supervise, Supervise y optimice periódicamente el rendimiento de
optimice e informe la cartera de inversiones y los programas individuales a
sobre el lo largo de todo el ciclo de vida de la inversión. Asegurar
rendimiento de la un seguimiento continuo de la alineación del portafolio
cartera de con la estrategia de I&T.
inversiones.
Mantener Mantener carteras de programas y proyectos de
carteras. inversión, productos y servicios de I&T y activos de I&T.
Gestionar la Supervisar los beneficios de proporcionar y mantener
consecución de productos, servicios y capacidades de I&T apropiados, en
beneficios. función del caso comercial acordado y actual.
Administrar las Establecer y mantener un método para administrar y dar
finanzas y la cuenta de todos los costos, inversiones y depreciación
contabilidad. relacionados con I&T como parte integral de los sistemas
y cuentas financieros de la empresa. Informe utilizando
los sistemas de medición financiera de la empresa.
Priorizar la Implementar un proceso de toma de decisiones para
asignación de priorizar la asignación de recursos y establecer reglas
recursos. para inversiones discrecionales por unidades de
negocios individuales. Incluya el uso potencial de
proveedores de servicios externos y considere las
opciones de compra, desarrollo y alquiler.
75

Optimice las capacidades de los recursos
humanos para cumplir los objetivos
empresariales.
APO06.03 Crear y mantener Preparar un presupuesto que refleje las prioridades de
presupuestos. inversión en función de la cartera de programas
habilitados para I&T y servicios de I&T.
APO06.04 Modele y asigne Establecer y utilizar un modelo de costeo de I&T basado,
costos. por ejemplo, en la definición del servicio. Este enfoque
garantiza que la asignación de los costos de los servicios
sea identificable, medible y predecible, y fomenta el uso
responsable de los recursos, incluidos los
proporcionados por los proveedores de servicios. Revise
y compare regularmente el modelo de costo/recargo
para mantener su relevancia y adecuación para las
actividades comerciales y de TI en evolución.
APO06.05 Administrar Implemente un proceso de administración de costos que
costos. compare los costos reales con el presupuesto. Los costos
deben ser monitoreados e informados. Las desviaciones
del presupuesto deben identificarse de manera
oportuna y evaluarse su impacto en los procesos y
servicios de la empresa.
APO07.01 Adquirir y Evaluar los requisitos de personal interno y externo de
mantener el forma regular o en caso de cambios importantes en la
personal adecuado empresa o en los entornos operativos o de TI para
y apropiado. garantizar que la empresa tenga suficientes recursos
humanos para respaldar las metas y objetivos de la
empresa.
APO07.02 Identificar al Identificar al personal clave de TI. Utilice la captura de
personal clave de conocimientos (documentación), el intercambio de
TI. conocimientos, la planificación de la sucesión y el
respaldo del personal para minimizar la dependencia de
una sola persona que realiza una función de trabajo
crítica.
76
APO07.03 Mantener las Definir y gestionar las habilidades y competencias
habilidades y requeridas del personal. Verificar regularmente que el
competencias del personal tenga las competencias para cumplir con sus
personal. funciones en base a su educación, capacitación y/o
experiencia. Verificar que estas competencias se
mantengan, utilizando programas de calificación y
certificación cuando corresponda. Proporcionar a los
empleados aprendizaje continuo y oportunidades para
mantener sus conocimientos, habilidades y
competencias al nivel necesario para alcanzar los
objetivos empresariales.

APO07.04 Evaluar y Llevar a cabo evaluaciones de desempeño periódicas y

reconocer/premiar oportunas en comparación con los objetivos individuales
el desempeño derivados de las metas empresariales, los estándares
laboral de los establecidos, las responsabilidades laborales específicas
empleados. y el marco de habilidades y competencias. Implementar
un proceso de remuneración/reconocimiento que
premie el logro exitoso de las metas de desempeño.

APO07.05 Planifique y realice Comprender y realizar un seguimiento de la demanda

un seguimiento actual y futura de recursos humanos empresariales y de
del uso de TI y de TI con responsabilidades de I&T empresarial. Identifique
los recursos las deficiencias y proporcione información sobre los
humanos planes de abastecimiento, los procesos de contratación
empresariales. empresarial y de TI, y los procesos de contratación
empresarial y de TI.

APO07.06 Administrar Asegúrese de que los consultores y el personal

personal contratado que brindan apoyo a la empresa con
contratado. habilidades de I&T conozcan y cumplan con las políticas
de la organización y cumplan con los requisitos
contractuales acordados.

77
Habilite el conocimiento, las habilidades y APO08.01 Comprender las Comprender los problemas comerciales actuales, los
los comportamientos correctos para crear expectativas objetivos y las expectativas de I&T. Asegúrese de que los
mejores resultados, mayor confianza, comerciales. requisitos se comprendan, gestionen y comuniquen, y de
confianza mutua y uso efectivo de los que se acuerde y apruebe su estado.
recursos que estimulen una relación
productiva con las partes interesadas del
negocio.

APO08.02 Alinee la Alinee las estrategias de I&T con los objetivos y

estrategia de I&T expectativas comerciales actuales para permitir que TI
con las sea un socio de valor agregado para el negocio y un
expectativas componente de gobierno para mejorar el rendimiento
comerciales e empresarial.
identifique
oportunidades
para que TI mejore
el negocio.

APO08.03 Gestionar la Gestionar la relación entre la organización de servicios

relación comercial. de TI y sus socios comerciales. Asegúrese de que los
roles y responsabilidades de la relación estén definidos y
asignados, y que se facilite la comunicación.

78
 APO08.04 Coordinar y Trabaje con todas las partes interesadas relevantes y
comunicar. coordine la entrega de extremo a extremo de los
servicios y soluciones de I&T proporcionados a la
empresa.

APO08.05 Proporcionar Mejorar y evolucionar continuamente los servicios

información para habilitados para I&T y la prestación de servicios a la
la mejora continua empresa para alinearse con los cambiantes objetivos
de los servicios. empresariales y requisitos tecnológicos.

Asegúrese de que los productos, servicios y APO09.01
niveles de servicio de I&T satisfagan las
necesidades empresariales actuales y
futuras.
Identificar los Analice los requisitos comerciales y el grado en que los
servicios de I&T. servicios habilitados para I&T y los niveles de servicio
respaldan los procesos comerciales. Discutir y acordar
con el negocio los servicios potenciales y los niveles de
servicio. Comparar los niveles de servicio potenciales con
la cartera de servicios actual; identificar servicios nuevos
o modificados u opciones de nivel de servicio.

APO09.02 Catalogar servicios Defina y mantenga uno o más catálogos de servicios

habilitados para para grupos objetivo relevantes. Publique y mantenga
I&T. servicios habilitados para I&T en vivo en los catálogos de
servicios.

APO09.03 Definir y preparar Definir y preparar acuerdos de servicios basados en

acuerdos de opciones en los catálogos de servicios. Incluir acuerdos
servicios. operativos internos.
APO09.04 Supervisar e Supervise los niveles de servicio, informe sobre los
informar los logros e identifique tendencias. Proporcionar la
niveles de servicio. información de gestión adecuada para ayudar a la
gestión del rendimiento.

APO09.05 Revisar acuerdos y Llevar a cabo revisiones periódicas de los acuerdos de

contratos de servicio y revisarlos cuando sea necesario.
servicios.

79
Optimice las capacidades de I&T APO10.01 Identificar y Busque e identifique continuamente proveedores y
disponibles para respaldar la estrategia y la evaluar las categorícelos por tipo, importancia y criticidad.
hoja de ruta de I&T, minimice el riesgo relaciones y los Establecer criterios para evaluar proveedores y
asociado con proveedores que no cumplen contratos con los contratos. Revisar la cartera general de proveedores y
o no cumplen, y garantiza precios proveedores. contratos existentes y alternativos.
competitivos.

APO10.02 Seleccionar Seleccionar proveedores de acuerdo con una práctica

proveedores. justa y formal para garantizar un mejor ajuste viable en
función de los requisitos especificados. Los requisitos
deben optimizarse con las aportaciones de los posibles
proveedores.

APO10.03 Gestionar las Formalizar y gestionar la relación con el proveedor para

relaciones con los cada proveedor. Gestionar, mantener y controlar los
proveedores y los contratos y la prestación de servicios. Asegúrese de que
contratos. los contratos nuevos o modificados cumplan con los
estándares empresariales y los requisitos legales y
reglamentarios. Atender disputas contractuales.

APO10.04 Gestionar el riesgo Identifique y gestione el riesgo relacionado con la

de los capacidad de los proveedores para proporcionar
proveedores. continuamente una prestación de servicios segura,
eficiente y eficaz. Esto también incluye a los
subcontratistas o proveedores anteriores que son
relevantes en la prestación de servicios del proveedor
directo.

80
 APO10.05 Supervise el Revise periódicamente el rendimiento general del
rendimiento y el proveedor, el cumplimiento de los requisitos del
cumplimiento de contrato y la relación calidad-precio. Abordar los
los proveedores. problemas identificados.

Asegurar la entrega constante de APO11.01 Establecer un Establecer y mantener un sistema de gestión de la

soluciones y servicios tecnológicos para
cumplir con los requisitos de calidad de la
empresa y satisfacer las necesidades de las
partes interesadas.
sistema de gestión calidad (SGC) que proporcione un enfoque estándar,
de la calidad formal y continuo para la gestión de la calidad de la
(SGC). información. El QMS debe permitir que la tecnología y
los procesos comerciales se alineen con los requisitos
comerciales y la gestión de calidad empresarial.

APO11.02 Centrar la gestión Centrar la gestión de calidad en los clientes

de la calidad en los determinando sus requisitos y asegurando la integración
clientes. en las prácticas de gestión de calidad.
APO11.03 Administre Identificar y mantener estándares, procedimientos y
estándares, prácticas para procesos clave para guiar a la empresa en
prácticas y el cumplimiento de la intención de los estándares de
procedimientos de gestión de calidad (SGC) acordados. Esta actividad debe
calidad e integre la alinearse con los requisitos del marco de control de I&T.
gestión de calidad Considere la posibilidad de certificación para procesos
en procesos y clave, unidades organizativas, productos o servicios.
soluciones clave.

APO11.04 Realizar Supervisar la calidad de los procesos y servicios de forma

seguimiento, permanente, en línea con los estándares de gestión de
control y calidad. Definir, planificar e implementar medidas para
revisiones de monitorear la satisfacción del cliente con la calidad, así
calidad. como el valor proporcionado por el sistema de gestión
de la calidad (SGC). La información recopilada debe ser
utilizada por el propietario del proceso para mejorar la
calidad.

81
 APO11.05 Mantener la Mantener y comunicar regularmente un plan general de
mejora continua. calidad que promueva la mejora continua. El plan debe
definir la necesidad y los beneficios de la mejora
continua. Recopilar y analizar datos sobre el sistema de
gestión de la calidad (SGC) y mejorar su eficacia. Corregir
las no conformidades para evitar que se repitan.

Integre la gestión del riesgo empresarial APO12.01 Recolectar datos. Identifique y recopile datos relevantes para permitir la
relacionado con la I&T con la gestión identificación, el análisis y la generación de informes de
general del riesgo empresarial (ERM) y riesgos relacionados con I&T.
equilibre los costos y beneficios de la
gestión del riesgo empresarial relacionado
con la I&T.

APO12.02 Analizar riesgo. Desarrollar una visión fundamentada sobre el riesgo real
de I&T, en apoyo de las decisiones de riesgo.
APO12.03 Mantener un perfil Mantenga un inventario de riesgos conocidos y atributos
de riesgo. de riesgo, incluida la frecuencia esperada, el impacto
potencial y las respuestas. Documente los recursos
relacionados, las capacidades y las actividades de control
actuales relacionadas con los elementos de riesgo.

APO12.04 Riesgo articulado. Comunicar información sobre el estado actual de las

exposiciones y oportunidades relacionadas con I&T de
manera oportuna a todas las partes interesadas
requeridas para una respuesta adecuada.

APO12.05 Definir una cartera Gestionar oportunidades para reducir el riesgo a un nivel
de acciones de aceptable como cartera.
gestión de riesgos.

APO12.06 Responder al Responder de manera oportuna a los eventos de riesgo

riesgo. materializados con medidas efectivas para limitar la
magnitud de la pérdida.

82
Mantenga el impacto y la ocurrencia de
incidentes de privacidad y seguridad de la
información dentro de los niveles de
apetito por el riesgo de la empresa.
APO13.02
APO13.03
Garantice la utilización eficaz de los activos APO14.01
de datos críticos para lograr las metas y
objetivos empresariales.
APO13.01 Establecer y Establecer y mantener un sistema de gestión de la
mantener un seguridad de la información (SGSI) que proporcione un
sistema de gestión enfoque estándar, formal y continuo para la gestión de
de seguridad de la la seguridad y la privacidad de la información. Asegúrese
información de que el sistema admita tecnología segura y procesos
(SGSI). comerciales que estén alineados con los requisitos
comerciales, la seguridad empresarial y la gestión de
privacidad empresarial.
Definir y gestionar Mantener un plan de seguridad de la información que
un plan de describa cómo se gestionará y alineará el riesgo de
tratamiento de seguridad de la información con la estrategia y la
riesgos de arquitectura de la empresa. Asegúrese de que las
seguridad de la recomendaciones para implementar mejoras de
información. seguridad se basen en casos comerciales aprobados, se
implementen como parte integral del desarrollo de
servicios y soluciones y se operen como parte integral de
la operación comercial.
Supervisar y Mantener y comunicar regularmente la necesidad y los
revisar el sistema beneficios de la mejora continua en la seguridad de la
de gestión de información. Recopilar y analizar datos sobre el sistema
seguridad de la de gestión de seguridad de la información (SGSI) y
información mejorar su eficacia. Corregir las no conformidades para
(SGSI). evitar que se repitan.
Definir y Defina cómo administrar y mejorar los activos de datos
comunicar la de la organización, de acuerdo con la estrategia y los
estrategia de objetivos de la empresa. Comunicar la estrategia de
gestión de datos gestión de datos a todas las partes interesadas. Asigne
de la organización funciones y responsabilidades para garantizar que los
y las funciones y datos corporativos se gestionen como activos críticos y
responsabilidades. que la estrategia de gestión de datos se implemente y
mantenga de manera eficaz y sostenible.
83
APO14.02 Definir y mantener Cree, apruebe, actualice y promueva términos y
un glosario definiciones comerciales consistentes para fomentar el
empresarial uso de datos compartidos en toda la organización.
coherente.

APO14.03 Establecer los Establezca los procesos y la infraestructura para

procesos y la especificar y ampliar los metadatos sobre los activos de
infraestructura datos de la organización, fomentando y apoyando el
para la gestión de intercambio de datos, asegurando el uso conforme de
metadatos. los datos, mejorando la capacidad de respuesta a los
cambios comerciales y reduciendo el riesgo relacionado
con los datos.

APO14.04 Definir una Defina una estrategia integrada en toda la organización

estrategia de para lograr y mantener el nivel de calidad de los datos
calidad de datos. (como complejidad, integridad, precisión, integridad,
validez, trazabilidad y puntualidad) necesarios para
respaldar las metas y objetivos comerciales.

APO14.05 Establecer Implemente metodologías, procesos, prácticas,

metodologías, herramientas y plantillas de creación de perfiles de datos
procesos y estandarizados que se puedan aplicar en múltiples
herramientas de repositorios y almacenes de datos.
perfilado de datos.

APO14.06 Garantizar un Proporcionar un enfoque sistemático para medir y

enfoque de evaluar la calidad de los datos de acuerdo con los
evaluación de la procesos y técnicas, y contra las reglas de calidad de los
calidad de los datos.
datos.

APO14.07 Definir el enfoque Defina los mecanismos, reglas, procesos y métodos para
de limpieza de validar y corregir datos de acuerdo con reglas
datos. comerciales predefinidas.

84
 APO14.08
APO14.09
APO14.10
Obtenga el valor comercial deseado y BAI01.01
reduzca el riesgo de demoras inesperadas,
costos y erosión del valor. Para hacerlo,
mejore las comunicaciones y la
participación de las empresas y los usuarios
finales, asegure el valor y la calidad de los
entregables del programa y el seguimiento
de los proyectos dentro de los programas, y
maximice la contribución del programa a la
cartera de inversiones.
Gestionar el ciclo Asegúrese de que la organización comprenda, mapee,
de vida de los inventaria y controle sus flujos de datos a través de los
activos de datos. procesos comerciales durante el ciclo de vida de los
datos, desde la creación o adquisición hasta el retiro.
Admite el archivo Asegúrese de que el mantenimiento de datos satisfaga
y la retención de los requisitos organizativos y reglamentarios para la
datos. disponibilidad de datos históricos. Asegúrese de que se
cumplan los requisitos legales y reglamentarios para el
archivo y la retención de datos.
Gestione los Gestione la disponibilidad de datos críticos para
arreglos de copia garantizar la continuidad operativa.
de seguridad y
restauración de
datos.
Mantener un Mantener un enfoque estándar para la gestión de
enfoque estándar programas que permita la revisión de la gobernanza y la
para la gestión del gestión, la toma de decisiones y las actividades de
programa. gestión de la entrega. Estas actividades deben enfocarse
consistentemente en el valor comercial y los objetivos
(es decir, requisitos, riesgos, costos, cronograma y
objetivos de calidad).
85
BAI01.02 Iniciar un Iniciar un programa para confirmar los beneficios
programa. esperados y obtener la autorización para proceder. Esto
incluye acordar el patrocinio del programa, confirmar el
mandato del programa a través de la aprobación del
caso de negocio conceptual, nombrar miembros de la
junta o del comité del programa, producir el resumen
del programa, revisar y actualizar el caso de negocio,
desarrollar un plan de realización de beneficios y
obtener la aprobación de los patrocinadores para
proceder.

BAI01.03 Gestionar la Gestione la participación de las partes interesadas para

participación de garantizar un intercambio activo de información precisa,
las partes coherente y oportuna para todas las partes interesadas
interesadas. relevantes. Esto incluye planificar, identificar e involucrar
a las partes interesadas y gestionar sus expectativas.

BAI01.04 Desarrollar y Formular un programa para sentar las bases iniciales.

mantener el plan Posiciónelo para una ejecución exitosa formalizando el
del programa. alcance del trabajo e identificando los entregables que
satisfarán los objetivos y entregarán valor. Mantener y
actualizar el plan del programa y el caso de negocios
durante todo el ciclo de vida económico del programa,
asegurando la alineación con los objetivos estratégicos y
reflejando el estado actual y los conocimientos
adquiridos hasta la fecha.

BAI01.05 Inicie y ejecute el Lanzar y ejecutar el programa para adquirir y dirigir los
programa. recursos necesarios para lograr las metas y beneficios
del programa como se define en el plan del programa.
De acuerdo con los criterios de revisión de etapa o
lanzamiento, prepárese para las revisiones de etapa,
iteración o lanzamiento para informar el progreso y
defender el financiamiento hasta la siguiente revisión de
etapa o lanzamiento.

86
BAI01.06 Monitorear, Monitoree y controle el desempeño contra el plan a lo
controlar e largo del ciclo de vida económico completo de la
informar sobre los inversión, cubriendo la entrega de soluciones a nivel de
resultados del programa y el valor/resultado a nivel de empresa.
programa. Informar sobre el rendimiento al comité directivo del
programa y a los patrocinadores.

BAI01.07 Gestionar la Preparar y ejecutar un plan de gestión de calidad,

calidad del procesos y prácticas que se alineen con los estándares
programa. de gestión de calidad (QMS). Describir el enfoque de la
calidad e implementación del programa. El plan debe ser
revisado y acordado formalmente por todas las partes
involucradas e incorporado al plan del programa
integrado.

BAI01.08 Gestionar el riesgo Eliminar o minimizar el riesgo específico asociado con los
del programa. programas a través de un proceso sistemático de
planificación, identificación, análisis, respuesta,
seguimiento y control de las áreas o eventos con el
potencial de causar cambios no deseados. Defina y
registre cualquier riesgo que enfrente la gestión del
programa.

BAI01.09 Cierra un Retirar el programa de la cartera de inversiones activa

programa. cuando haya acuerdo de que se ha logrado el valor
deseado o cuando esté claro que no se logrará dentro de
los criterios de valor establecidos para el programa.

87
Cree soluciones óptimas que satisfagan las BAI02.01
necesidades de la empresa y minimicen el
riesgo.
Definir y mantener Con base en el caso comercial, identifique, priorice,
los requisitos especifique y acuerde la información comercial, los
funcionales y requisitos funcionales, técnicos y de control que cubran
técnicos del el alcance/la comprensión de todas las iniciativas
negocio. necesarias para lograr los resultados esperados de la
solución comercial habilitada para I&T propuesta.

BAI02.02 Realizar un estudio Realice un estudio de viabilidad de posibles soluciones

de factibilidad y alternativas, evalúe su viabilidad y seleccione la opción
formular preferida. Si corresponde, implementar la opción
alternativas de seleccionada como piloto para determinar posibles
solución. mejoras.

BAI02.03 Gestionar el riesgo Identificar, documentar, priorizar y mitigar el riesgo

de requisitos. funcional, técnico y relacionado con el procesamiento de
la información asociado con los requisitos de la empresa,
los supuestos y la solución propuesta.

BAI02.04 Obtener la Coordinar la retroalimentación de las partes interesadas

aprobación de afectadas. En etapas clave predeterminadas, obtenga la
requisitos y aprobación y aprobación del patrocinador comercial o
soluciones. propietario del producto con respecto a los requisitos
funcionales y técnicos, los estudios de viabilidad, los
análisis de riesgos y las soluciones recomendadas.

88
Garantice una entrega ágil y escalable de BAI03.01
productos y servicios digitales. Establecer
soluciones oportunas y rentables
(tecnología, procesos comerciales y flujos
de trabajo) capaces de respaldar los
objetivos estratégicos y operativos de la
empresa.
BAI03.02
Diseñar soluciones Desarrolle y documente diseños de alto nivel para la
de alto nivel. solución en términos de tecnología, procesos
comerciales y flujos de trabajo. Utilizar técnicas de
desarrollo ágil por fases o rápidas acordadas y
apropiadas. Garantice la alineación con la estrategia de
I&T y la arquitectura empresarial. Vuelva a evaluar y
actualice los diseños cuando surjan problemas
significativos durante el diseño detallado o las fases de
construcción, o a medida que evolucione la solución.
Aplicar un enfoque centrado en el usuario; asegurar que
las partes interesadas participen activamente en el
diseño y aprueben cada versión.
Diseñar Desarrollar, documentar y elaborar diseños de detalle de
componentes de forma progresiva. Utilizar técnicas de desarrollo Agile
solución rápidas o por fases acordadas y apropiadas, abordando
detallados. todos los componentes (procesos comerciales y
controles manuales y automatizados relacionados,
aplicaciones de I&T de soporte, servicios de
infraestructura y productos tecnológicos, y
socios/proveedores). Asegúrese de que el diseño
detallado incluya acuerdos de nivel de servicio (SLA)
internos y externos y acuerdos de nivel operativo (OLA).
89
BAI03.03 Desarrollar Desarrolle los componentes de la solución
componentes de la progresivamente en un entorno separado, de acuerdo
solución. con diseños detallados siguiendo los estándares y
requisitos para el desarrollo y la documentación, el
control de calidad (QA) y la aprobación. Asegúrese de
que se aborden todos los requisitos de control en los
procesos comerciales, las aplicaciones de soporte de I&T
y los servicios de infraestructura, los servicios y
productos tecnológicos y los servicios de
socios/proveedores.

BAI03.04 Adquirir Adquirir los componentes de la solución, según el plan

componentes de la de adquisición, de acuerdo con los requisitos y diseños
solución. detallados, los principios y estándares de la arquitectura,
y los procedimientos generales de adquisición y
contratación de la empresa, los requisitos de control de
calidad y los estándares de aprobación. Asegúrese de
que el proveedor identifique y aborde todos los
requisitos legales y contractuales.

BAI03.05 Construir Instale y configure soluciones e integre con actividades

soluciones. de procesos comerciales. Durante la configuración e
integración del hardware y el software de la
infraestructura, implemente medidas de control,
seguridad, privacidad y auditabilidad para proteger los
recursos y garantizar la disponibilidad y la integridad de
los datos. Actualizar el catálogo de productos o servicios
para reflejar las nuevas soluciones.

BAI03.06 Realizar el Desarrollar, asignar recursos y ejecutar un plan de

aseguramiento de control de calidad alineado con el SGC para obtener la
la calidad (QA). calidad especificada en la definición de requisitos y en
las políticas y procedimientos de calidad de la empresa.

90
BAI03.07 Prepárese para la Establezca un plan de prueba y los entornos necesarios
prueba de la para probar los componentes de la solución individuales
solución. e integrados. Incluya los procesos de negocio y los
servicios, aplicaciones e infraestructura de apoyo.

BAI03.08 Ejecutar pruebas Durante el desarrollo, ejecute pruebas continuamente

de solución. (incluidas las pruebas de control), de acuerdo con el plan
de pruebas definido y las prácticas de desarrollo en el
entorno adecuado. Involucre a los propietarios de
procesos comerciales y a los usuarios finales en el
equipo de prueba. Identifique, registre y priorice errores
y problemas identificados durante las pruebas.

BAI03.09 Gestionar los Realice un seguimiento del estado de los requisitos

cambios en los individuales (incluidos todos los requisitos rechazados) a
requisitos. lo largo del ciclo de vida del proyecto. Gestionar la
aprobación de cambios en los requisitos.

BAI03.10 Mantener Desarrollar y ejecutar un plan para el mantenimiento de

soluciones. la solución y los componentes de la infraestructura.
Incluya revisiones periódicas frente a las necesidades
comerciales y los requisitos operativos.

BAI03.11 Definir productos y Definir y acordar productos o servicios de TI nuevos o

servicios de TI y modificados y opciones de nivel de servicio. Documentar
mantener la definiciones de productos y servicios nuevos o
cartera de modificados y opciones de nivel de servicio para
servicios. actualizar en la cartera de productos y servicios.

BAI03.12 Diseñar soluciones Diseñar, desarrollar e implementar soluciones con la

en base a la metodología de desarrollo adecuada (es decir, I&T en
metodología de cascada, Agile o bimodal), de acuerdo con la estrategia y
desarrollo los requisitos generales.
definida.

91
Mantenga la disponibilidad del servicio, la BAI04.01
gestión eficiente de los recursos y la
optimización del rendimiento del sistema a
través de la predicción de los requisitos
futuros de rendimiento y capacidad.
BAI04.02
BAI04.03
BAI04.04
Evalúe la Evalúe la disponibilidad, el rendimiento y la capacidad de
disponibilidad, el los servicios y recursos para garantizar que la capacidad
rendimiento y la y el rendimiento justificables en función de los costos
capacidad actuales estén disponibles para respaldar las necesidades
y cree una línea comerciales y cumplir con los acuerdos de nivel de
base. servicio (SLA). Cree líneas base de disponibilidad,
rendimiento y capacidad para futuras comparaciones.
Evaluar el impacto Identificar servicios importantes para la empresa. Asigne
comercial. servicios y recursos a los procesos comerciales e
identifique las dependencias comerciales. Asegurarse de
que el cliente acuerde y acepte plenamente el impacto
de los recursos no disponibles. Para las funciones
comerciales vitales, asegúrese de que los requisitos de
disponibilidad puedan cumplirse según el acuerdo de
nivel de servicio (SLA).
Planifique los Planifique y priorice las implicaciones de disponibilidad,
requisitos de rendimiento y capacidad de las cambiantes necesidades
servicio nuevos o comerciales y los requisitos de servicio.
modificados.
Supervisar y Supervise, mida, analice, informe y revise la
revisar la disponibilidad, el rendimiento y la capacidad. Identificar
disponibilidad y la las desviaciones de las líneas de base establecidas.
capacidad. Revise los informes de análisis de tendencias que
identifiquen cualquier problema y variación
significativos. Iniciar acciones cuando sea necesario y
garantizar que se aborden todos los problemas
pendientes.
92
 BAI04.05 Investigue y Aborde las desviaciones investigando y resolviendo los
aborde los problemas identificados de disponibilidad, rendimiento y
problemas de capacidad.
disponibilidad,
rendimiento y
capacidad.

Prepare y comprometa a las partes
interesadas para el cambio empresarial y
reduzca el riesgo de fracaso.
BAI05.01 Establecer el Comprender el alcance y el impacto del cambio deseado.
deseo de cambiar. Evaluar la preparación y voluntad de cambio de las
partes interesadas. Identificar acciones que motivarán la
aceptación y participación de los interesados para que el
cambio funcione con éxito.

BAI05.02 Formar un equipo Establezca un equipo de implementación efectivo

de reuniendo a los miembros apropiados, creando
implementación confianza y estableciendo metas comunes y medidas de
efectivo. efectividad.

BAI05.03 Comunicar la Comunicar la visión deseada para el cambio en el

visión deseada. lenguaje de los afectados por el mismo. La comunicación
debe ser realizada por la alta gerencia e incluir la
justificación y los beneficios del cambio; los impactos de
no hacer el cambio; y la visión, la hoja de ruta y el
involucramiento requerido de los diversos actores.

BAI05.04 Empodere a los Empodere a aquellos con roles de implementación

actores e mediante la asignación de responsabilidades.
identifique Proporcionar formación y alinear las estructuras
victorias a corto organizativas y los procesos de recursos humanos.
plazo. Identifique y comunique logros a corto plazo que sean
importantes desde una perspectiva de habilitación del
cambio.

93
 BAI05.05
BAI05.06
BAI05.07
Habilite la entrega rápida y confiable de BAI06.01
cambios a la empresa. Mitigar el riesgo de
impactar negativamente en la estabilidad o
integridad del entorno modificado.
Habilitar la Planificar e implementar todos los aspectos técnicos,
operación y el uso. operativos y de uso para que todos los involucrados en
el entorno estatal futuro puedan ejercer su
responsabilidad.
Incorporar nuevos Incorpore nuevos enfoques mediante el seguimiento de
enfoques. los cambios implementados, la evaluación de la eficacia
del plan de operación y uso, y el mantenimiento de la
conciencia continua a través de la comunicación regular.
Tome medidas correctivas según corresponda (lo que
puede incluir hacer cumplir las normas).
Sostener los Sostenga los cambios a través de la capacitación efectiva
cambios. del nuevo personal, campañas de comunicación
continuas, el compromiso continuo de la alta dirección,
el seguimiento de la adopción y el intercambio de
lecciones aprendidas en toda la empresa.
Evaluar, priorizar y Evalúe todas las solicitudes de cambio para determinar
autorizar el impacto en los procesos comerciales y los servicios de
solicitudes de I&T, y para evaluar si el cambio afectará negativamente
cambio. el entorno operativo e introducirá un riesgo inaceptable.
Asegúrese de que los cambios se registren, prioricen,
categoricen, evalúen, autoricen, planifiquen y
programen.
94
 BAI06.02 Gestionar cambios Administre cuidadosamente los cambios de emergencia
de emergencia. para minimizar más incidentes. Asegúrese de que el
cambio de emergencia esté controlado y se lleve a cabo
de forma segura. Verificar que los cambios de
emergencia se evalúen y autoricen adecuadamente
después del cambio.

BAI06.03 Rastree e informe Mantenga un sistema de seguimiento y generación de

el estado del informes para documentar los cambios rechazados y
cambio. comunicar el estado de los cambios aprobados, en
proceso y completos. Asegúrese de que los cambios
aprobados se implementen según lo planeado.

BAI06.04 Cierre y Cada vez que se implementen cambios, actualice la

Implementar soluciones de forma segura y BAI07.01
en línea con las expectativas y los
resultados acordados.
documente los solución, la documentación del usuario y los
cambios. procedimientos afectados por el cambio.
Establecer un plan Establezca un plan de implementación que cubra la
de conversión de sistemas y datos, los criterios de prueba
implementación. de aceptación, la comunicación, la capacitación, la
preparación del lanzamiento, la promoción a
producción, el soporte de producción inicial, un plan
alternativo/de respaldo y una revisión posterior a la
implementación. Obtener la aprobación de las partes
pertinentes.

BAI07.02 Planificar el Prepárese para procesos comerciales, datos de servicios

proceso de de I&T y migración de infraestructura como parte de los
negocio, el sistema métodos de desarrollo de la empresa. Incluya registros
y la conversión de de auditoría y un plan de recuperación en caso de que
datos. falle la migración.

95
BAI07.03 Pruebas de Establezca un plan de prueba basado en estándares de
aceptación del toda la empresa que defina roles, responsabilidades y
plan. criterios de entrada y salida. Asegúrese de que el plan
sea aprobado por las partes pertinentes.

BAI07.04 Establecer un Definir y establecer un entorno de prueba seguro

entorno de representativo del proceso comercial planificado y el
prueba. entorno de operaciones de TI en términos de
rendimiento, capacidad, seguridad, controles internos,
prácticas operativas, calidad de datos, requisitos de
privacidad y cargas de trabajo.

BAI07.05 Realizar pruebas Pruebe los cambios de forma independiente, de acuerdo

de aceptación. con el plan de prueba definido, antes de la migración al
entorno operativo en vivo.
BAI07.06 Promocionar a Promover la solución aceptada para el negocio y las
producción y operaciones. Cuando corresponda, ejecute la solución
gestionar como una implementación piloto o en paralelo con la
lanzamientos. solución anterior durante un período definido y compare
el comportamiento y los resultados. Si se producen
problemas significativos, vuelva al entorno original según
el plan de reserva/respaldo. Gestionar las versiones de
los componentes de la solución.

BAI07.07 Brindar apoyo Durante un período de tiempo acordado, brinde soporte

temprano a la temprano a los usuarios y las operaciones de I&T para
producción. resolver problemas y ayudar a estabilizar la nueva
solución.

BAI07.08 Realice una Realice una revisión posterior a la implementación para

revisión posterior confirmar los efectos y resultados, identificar las
a la lecciones aprendidas y desarrollar un plan de acción.
implementación. Evaluar el rendimiento y los resultados reales del
servicio nuevo o modificado frente al rendimiento y los
resultados previstos por el usuario o cliente.

96
Proporcionar el conocimiento y la BAI08.01
información necesarios para apoyar a todo
el personal en el gobierno y la gestión de la
I&T empresarial y permitir la toma de
decisiones informada.
Identificar y Identifique, valide y clasifique diversas fuentes de
clasificar las información interna y externa necesarias para permitir el
fuentes de gobierno y la gestión de I&T, incluidos documentos de
información para estrategia, informes de incidentes e información de
el gobierno y la configuración que avanza desde el desarrollo hasta las
gestión de I&T. operaciones antes de entrar en funcionamiento.

BAI08.02 Organizar y Organizar la información en base a criterios de

contextualizar la clasificación. Identificar y crear relaciones significativas
información en entre los elementos de información y permitir el uso de
conocimiento. la información. Identifique a los propietarios y
aproveche e implemente niveles de información
definidos por la empresa de acceso a la información de
gestión y los recursos de conocimiento.

BAI08.03 Usar y compartir Difundir los recursos de conocimiento disponibles a las

conocimientos. partes interesadas relevantes y comunicar cómo se
pueden utilizar estos recursos para abordar diferentes
necesidades (por ejemplo, resolución de problemas,
aprendizaje, planificación estratégica y toma de
decisiones).

BAI08.04 Evaluar y Medir el uso y evaluar la actualidad y relevancia de la

actualizar o retirar información. Actualizar información o retirar
información. información obsoleta.

97
Contabilice todos los activos de I&T y
optimice el valor proporcionado por su uso.
BAI09.01 Identificar y Mantener un registro actualizado y preciso de todos los
registrar los activos de I&T que se requieren para brindar servicios y
activos corrientes. que son propiedad de la organización o están bajo su
control con la expectativa de un beneficio futuro
(incluidos los recursos con valor económico, como
hardware o software). Garantice la alineación con la
gestión de la configuración y la gestión financiera.

BAI09.02 Gestionar activos Identificar los activos que son críticos para proporcionar
críticos. la capacidad de servicio. Maximice su confiabilidad y
disponibilidad para respaldar las necesidades
comerciales.

BAI09.03 Gestionar el ciclo Gestione los activos desde la adquisición hasta la

de vida de los disposición. Asegúrese de que los activos se utilicen de la
activos. manera más eficaz y eficiente posible y que se
contabilicen y protejan físicamente hasta que se retiren
adecuadamente.

BAI09.04 Optimizar el valor Revise periódicamente la base general de activos para

de los activos. identificar formas de optimizar el valor en consonancia
con las necesidades comerciales.
BAI09.05 Administrar Administre las licencias de software para mantener la
licencias. cantidad óptima de licencias y cumplir con los requisitos
comerciales. Asegúrese de que la cantidad de licencias
que posee sea suficiente para cubrir el software
instalado en uso.

98
Proporcione suficiente información sobre BAI10.01
los activos del servicio para permitir que el
servicio se gestione de manera eficaz.
Evaluar el impacto de los cambios y tratar
las incidencias del servicio.
Establecer y Establecer y mantener un modelo lógico de los servicios,
mantener un activos, infraestructura y registro de elementos de
modelo de configuración (CI), incluidas las relaciones entre ellos.
configuración. Incluir los CI que se consideren necesarios para gestionar
los servicios de forma eficaz y proporcionar una
descripción única y fiable de los activos de un servicio.

BAI10.02 Establecer y Establezca y mantenga un repositorio de gestión de

mantener un configuración y cree líneas base de configuración
depósito de controladas.
configuración y
una línea de base.

BAI10.03 Mantener y Mantenga un repositorio actualizado de elementos de

controlar los configuración (CI) completando cualquier cambio de
elementos de configuración.
configuración.

BAI10.04 Producir informes Defina y produzca informes de configuración sobre los

de estado y cambios de estado de los elementos de configuración.
configuración.
BAI10.05 Verifique y revise Revise periódicamente el depósito de configuración y
la integridad del verifique que esté completo y correcto contra el objetivo
depósito de deseado.
configuración.

99
Obtenga resultados definidos del proyecto BAI11.01
y reduzca el riesgo de retrasos inesperados,
costos y erosión del valor al mejorar las
comunicaciones y la participación de la
empresa y los usuarios finales. Asegurar el
valor y la calidad de los entregables del
proyecto y maximizar su contribución a los
programas definidos y la cartera de
inversiones.
BAI11.02
BAI11.03
BAI11.04
Mantener un Mantener un enfoque estándar para la gestión de
enfoque estándar proyectos que permita la revisión de la gobernanza y la
para la gestión de gestión, la toma de decisiones y las actividades de
proyectos. gestión de la entrega. Estas actividades deben enfocarse
consistentemente en el valor comercial y los objetivos
(es decir, requisitos, riesgos, costos, cronograma y
objetivos de calidad).
Poner en marcha e Definir y documentar la naturaleza y el alcance del
iniciar un proyecto para confirmar y desarrollar una comprensión
proyecto. común del alcance del proyecto entre las partes
interesadas. La definición debe ser aprobada
formalmente por los patrocinadores del proyecto.
Gestionar la Gestione la participación de las partes interesadas para
participación de garantizar un intercambio activo de información precisa,
las partes coherente y oportuna que llegue a todas las partes
interesadas. interesadas relevantes. Esto incluye planificar, identificar
e involucrar a las partes interesadas y gestionar sus
expectativas.
Desarrollar y Establezca y mantenga un plan de proyecto integrado,
mantener el plan aprobado y formal (que cubra los recursos comerciales y
del proyecto. de TI) para guiar la ejecución y el control del proyecto a
lo largo de la vida del proyecto. El alcance de los
proyectos debe estar claramente definido y vinculado a
la creación o mejora de la capacidad empresarial.
100
BAI11.05 Gestionar la Preparar y ejecutar un plan de gestión de calidad,
calidad del procesos y prácticas que se alineen con los estándares
proyecto. de gestión de calidad (QMS). Describir el enfoque de la
calidad y la implementación del proyecto. El plan debe
ser revisado y acordado formalmente por todas las
partes involucradas e incorporado a los planes
integrados del proyecto.

BAI11.06 Gestionar el riesgo Eliminar o minimizar el riesgo específico asociado con los
del proyecto. proyectos a través de un proceso sistemático de
planificación, identificación, análisis, respuesta,
seguimiento y control de las áreas o eventos con
potencial para causar cambios no deseados. Defina y
registre cualquier riesgo que enfrente la gestión de
proyectos.

BAI11.07 Seguimiento y Mida el rendimiento del proyecto frente a los criterios

control de clave de rendimiento del proyecto, como el cronograma,
proyectos. la calidad, el costo y el riesgo. Identificar cualquier
desviación de los objetivos esperados. Evaluar el
impacto de las desviaciones en el proyecto y el programa
general e informar los resultados a las partes interesadas
clave.

BAI11.08 Administre los Administre los paquetes de trabajo del proyecto

recursos del imponiendo requisitos formales para autorizar y aceptar
proyecto y los paquetes de trabajo y asignar y coordinar los recursos
paquetes de comerciales y de TI apropiados.
trabajo.

101
 BAI11.09 Cerrar un proyecto Al final de cada proyecto, lanzamiento o iteración,
o iteración. solicite a las partes interesadas del proyecto que
determinen si el proyecto, lanzamiento o iteración
entregó los resultados requeridos en términos de
capacidades y contribuyó como se esperaba a los
beneficios del programa. Identificar y comunicar
cualquier actividad pendiente requerida para lograr los
resultados planificados del proyecto y/o los beneficios
del programa. Identifique y documente las lecciones
aprendidas para futuros proyectos, versiones,
iteraciones y programas.

Entregar resultados de servicios y DSS01.01 Realizar Mantener y realizar procedimientos operativos y tareas
productos operativos de I&T según lo procedimientos operativas de manera confiable y consistente.
planeado. operativos.

DSS01.02 Gestionar servicios Administre la operación de los servicios de I&T

de I&T subcontratados para mantener la protección de la
subcontratados. información empresarial y la confiabilidad de la
prestación del servicio.

DSS01.03 Supervisar la Supervisar la infraestructura de I&T y los eventos

infraestructura de relacionados. Almacene suficiente información
I&T. cronológica en los registros de operaciones para
reconstruir y revisar las secuencias de tiempo de las
operaciones y otras actividades que rodean o respaldan
las operaciones.

DSS01.04 Administrar el Mantener las medidas de protección contra los factores

medio ambiente. ambientales. Instalar equipos y dispositivos
especializados para monitorear y controlar el ambiente.

102
 DSS01.05 Administrar Administre las instalaciones, incluidos los equipos de
instalaciones. energía y comunicaciones, de acuerdo con las leyes y
regulaciones, los requisitos técnicos y comerciales, las
especificaciones del proveedor y las pautas de salud y
seguridad.

Logre una mayor productividad y minimice DSS02.01 Definir esquemas Definir esquemas y modelos de clasificación de
las interrupciones mediante la resolución de clasificación de incidencias y solicitudes de servicio.
rápida de consultas e incidentes de los incidencias y
usuarios. Evaluar el impacto de los cambios solicitudes de
y tratar las incidencias del servicio. Resolver servicio.
solicitudes de usuarios y restaurar el
servicio en respuesta a incidentes.

DSS02.02 Registrar, clasificar Identifique, registre y clasifique las solicitudes de servicio

y priorizar e incidentes y asigne una prioridad de acuerdo con la
solicitudes e criticidad del negocio y los acuerdos de servicio.
incidencias.

DSS02.03 Verificar, aprobar Seleccione los procedimientos de solicitud apropiados y

y cumplir con las verifique que las solicitudes de servicio cumplan con los
solicitudes de criterios de solicitud definidos. Obtener la aprobación, si
servicio. es necesario, y cumplir con las solicitudes.

DSS02.04 Investigar, Identifique y registre los síntomas del incidente,

diagnosticar y determine las posibles causas y asigne la resolución.
asignar incidentes.

DSS02.05 Resolver y Documente, aplique y pruebe las soluciones o soluciones

recuperarse de provisionales identificadas. Realice acciones de
incidentes. recuperación para restaurar el servicio relacionado con
I&T.

DSS02.06 Cerrar solicitudes Verificar la resolución satisfactoria de incidentes y/o

de servicio e cumplimiento de solicitudes, y cerrar.
incidencias.

103
 DSS02.07 Realice un Realizar un seguimiento, analizar y reportar
seguimiento del periódicamente las incidencias y el cumplimiento de las
estado y genere solicitudes. Examine las tendencias para proporcionar
informes. información para la mejora continua.

Aumente la disponibilidad, mejore los DSS03.01 Identificar y Definir e implementar criterios y procedimientos para
niveles de servicio, reduzca costos, mejore clasificar identificar y reportar problemas. Incluya la clasificación,
la comodidad y satisfacción del cliente al problemas. categorización y priorización de problemas.
reducir la cantidad de problemas operativos
e identifique las causas raíz como parte de
la resolución de problemas.

DSS03.02 Investigar y Investigue y diagnostique problemas utilizando expertos

diagnosticar en la materia relevante para evaluar y analizar las causas
problemas. raíz.
DSS03.03 Levantar errores Tan pronto como se identifiquen las causas raíz de los
conocidos. problemas, cree registros de errores conocidos,
documente las soluciones alternativas apropiadas e
identifique soluciones potenciales.

DSS03.04 Resolver y cerrar Identificar e iniciar soluciones sostenibles que aborden la

problemas. causa raíz. Realice solicitudes de cambio a través del
proceso de gestión de cambios establecido, si es
necesario, para resolver errores. Asegurar que el
personal afectado conozca las acciones realizadas y los
planes desarrollados para evitar que se produzcan
futuros incidentes.

DSS03.05 Realizar una Recopile y analice datos operativos (especialmente

gestión proactiva registros de incidentes y cambios) para identificar
de problemas. tendencias emergentes que puedan indicar problemas.
Registre registros de problemas para permitir la
evaluación.

104
Adáptese rápidamente, continúe con las DSS04.01 Definir la política Defina la política y el alcance de la continuidad del
operaciones comerciales y mantenga la de continuidad del negocio, alineados con los objetivos de la empresa y de
disponibilidad de recursos e información a negocio, objetivos las partes interesadas, para mejorar la resiliencia del
un nivel aceptable para la empresa en caso y alcance. negocio.
de una interrupción significativa (por
ejemplo, amenazas, oportunidades,
demandas).

DSS04.02 Mantener la Evalúe las opciones de resiliencia empresarial y elija una

resiliencia estrategia rentable y viable que garantice la continuidad
empresarial. de la empresa, la recuperación ante desastres y la
respuesta a incidentes frente a un desastre u otro
incidente o interrupción importante.

DSS04.03 Desarrollar e Desarrollar un plan de continuidad del negocio (BCP) y

implementar una un plan de recuperación ante desastres (DRP) basados
respuesta de en la estrategia. Documentar todos los procedimientos
continuidad del necesarios para que la empresa continúe con las
negocio. actividades críticas en caso de un incidente.

DSS04.04 Ejercer, probar y Pruebe la continuidad de forma regular para ejercitar

revisar el plan de planes contra resultados predeterminados, mantener la
continuidad del resiliencia empresarial y permitir que se desarrollen
negocio (BCP) y el soluciones innovadoras.
plan de respuesta
ante desastres
(DRP).

105
 DSS04.05 Revisar, mantener Llevar a cabo una revisión de la gestión de la capacidad
y mejorar los de continuidad a intervalos regulares para garantizar su
planes de idoneidad, adecuación y eficacia continuas. Administre
continuidad. los cambios en los planes de acuerdo con el proceso de
control de cambios para garantizar que los planes de
continuidad se mantengan actualizados y reflejen
continuamente los requisitos comerciales reales.

DSS04.06 Llevar a cabo la Proporcione a todas las partes internas y externas

capacitación del involucradas sesiones de capacitación periódicas sobre
plan de los procedimientos y sus roles y responsabilidades en
continuidad. caso de interrupción.

DSS04.07 Administrar Mantener la disponibilidad de información crítica para el

arreglos de negocio.
respaldo.
DSS04.08 Llevar a cabo una Evaluar la idoneidad del plan de continuidad comercial
revisión posterior (BCP) y el plan de respuesta ante desastres (DRP) luego
a la reanudación. de la reanudación exitosa de los procesos y servicios
comerciales después de una interrupción.

Minimice el impacto comercial de las
vulnerabilidades e incidentes de seguridad
y privacidad de la información operativa.
DSS05.01 Proteger contra Implemente y mantenga medidas preventivas, de
software detección y correctivas (especialmente parches de
malicioso. seguridad actualizados y control de virus) en toda la
empresa para proteger los sistemas de información y la
tecnología de software malicioso (por ejemplo, malware,
ransomware, virus, gusanos, spyware, spam).

DSS05.02 Administrar la Utilice medidas de seguridad y procedimientos de

seguridad de la red gestión relacionados para proteger la información sobre
y la conectividad. todos los métodos de conectividad.

106
DSS05.03 Administre la Asegúrese de que los terminales (p. ej., portátiles,
seguridad de los ordenadores de sobremesa, servidores y otros
puntos finales. dispositivos o software móviles y de red) estén
protegidos a un nivel igual o superior a los requisitos de
seguridad y privacidad definidos para la información
procesada, almacenada o transmitida.

DSS05.04 Administre la Asegúrese de que todos los usuarios tengan derechos de

identidad del acceso a la información de acuerdo con la política de
usuario y el acceso privacidad y los requisitos comerciales de la unidad
lógico. comercial. Coordine con las unidades comerciales que
administran sus propios derechos de acceso dentro de
los procesos comerciales.

DSS05.05 Administre el Definir e implementar procedimientos (incluidos los

acceso físico a los procedimientos de emergencia) para otorgar, limitar y
activos de I&T. revocar el acceso a locales, edificios y áreas, según las
necesidades del negocio. El acceso a los locales, edificios
y áreas debe estar justificado, autorizado, registrado y
monitoreado. Este requisito se aplica a todas las
personas que ingresan a las instalaciones, incluido el
personal, el personal temporal, los clientes, los
proveedores, los visitantes o cualquier otro tercero.

DSS05.06 Administre Establezca protecciones físicas apropiadas, prácticas

documentos contables y gestión de inventario con respecto a los
confidenciales y activos sensibles de I&T, como formularios especiales,
dispositivos de instrumentos negociables, impresoras especiales o
salida. tokens de seguridad.

107
 DSS05.07 Administre las Utilizando una cartera de herramientas y tecnologías (p.
vulnerabilidades y ej., herramientas de detección de intrusos), gestione las
supervise la vulnerabilidades y supervise la infraestructura para
infraestructura en detectar accesos no autorizados. Asegúrese de que las
busca de eventos herramientas de seguridad, las tecnologías y la detección
relacionados con estén integradas con el monitoreo general de eventos y
la seguridad. la gestión de incidentes.

Mantener la integridad de la información y DSS06.01 Alinear las Evalúe y supervise continuamente la ejecución de las
la seguridad de los activos de información actividades de actividades de los procesos comerciales y los controles
manejados dentro de los procesos control integradas relacionados (en función del riesgo empresarial), para
comerciales en la empresa o su operación en los procesos garantizar que los controles de procesamiento se alineen
subcontratada. comerciales con con las necesidades comerciales.
los objetivos
empresariales.

DSS06.02 Controlar el Operar la ejecución de las actividades del proceso de

procesamiento de negocio y los controles relacionados, con base en el
la información. riesgo empresarial. Asegúrese de que el procesamiento
de la información sea válido, completo, preciso,
oportuno y seguro (es decir, refleje un uso comercial
legítimo y autorizado).

108
DSS06.03 Administre roles, Administre los roles comerciales, las responsabilidades,
responsabilidades, los niveles de autoridad y la segregación de funciones
privilegios de necesarias para respaldar los objetivos del proceso
acceso y niveles de comercial. Autorizar el acceso a todos los activos de
autoridad. información relacionados con los procesos de
información comercial, incluidos aquellos bajo la
custodia de la empresa, TI y terceros. Esto garantiza que
la empresa sepa dónde están los datos y quién los
maneja en su nombre.

DSS06.04 Administrar Administre las excepciones y los errores de los procesos

errores y comerciales y facilite la reparación, ejecutando acciones
excepciones. correctivas definidas y escalando según sea necesario.
Este tratamiento de las excepciones y los errores
garantiza la exactitud e integridad del proceso de
información comercial.

DSS06.05 Garantizar la Asegúrese de que la información comercial pueda

trazabilidad y la rastrearse hasta un evento comercial de origen y
rendición de asociarse con las partes responsables. Esta capacidad de
cuentas de los descubrimiento proporciona seguridad de que la
eventos de información comercial es confiable y ha sido procesada
información. de acuerdo con los objetivos definidos.

DSS06.06 Asegure los activos Asegure los activos de información accesibles por la
de información. empresa a través de métodos aprobados, incluida la
información en forma electrónica (por ejemplo,
dispositivos de medios portátiles, aplicaciones de
usuario y dispositivos de almacenamiento, u otros
métodos que crean nuevos activos en cualquier forma),
información en forma física (por ejemplo, documentos
fuente o informes de salida) e información durante el
tránsito. Esto beneficia a la empresa al proporcionar una
protección de la información de extremo a extremo.

109
Brindar transparencia de desempeño y
conformidad e impulsar el logro de
objetivos.
MEA01.01 Establecer un Involucrarse con las partes interesadas para establecer y
enfoque de mantener un enfoque de monitoreo para definir los
seguimiento. objetivos, el alcance y el método para medir la solución
comercial y la entrega de servicios y la contribución a los
objetivos de la empresa. Integrar este enfoque con el
sistema de gestión del desempeño corporativo.

MEA01.02 Establecer Trabajar con las partes interesadas para definir, revisar
objetivos de periódicamente, actualizar y aprobar los objetivos de
rendimiento y desempeño y conformidad dentro del sistema de
conformidad. medición del desempeño.

MEA01.03 Recopilar y Recopile y procese datos oportunos y precisos alineados

procesar datos de con los enfoques empresariales.
rendimiento y
conformidad.

MEA01.04 Analizar y reportar Revisar e informar periódicamente el desempeño contra

el desempeño. los objetivos. Utilice un método que proporcione una
visión general sucinta del rendimiento de I&T y que se
ajuste al sistema de supervisión de la empresa.

MEA01.05 Asegurar la Ayudar a las partes interesadas a identificar, iniciar y

implementación realizar un seguimiento de las acciones correctivas para
de acciones abordar las anomalías.
correctivas.

110
Obtener transparencia para las partes MEA02.01 Supervisar los Monitoree, compare y mejore continuamente el entorno
interesadas clave sobre la adecuación del controles internos. de control de I&T y el marco de control para cumplir con
sistema de controles internos y así brindar los objetivos organizacionales.
confianza en las operaciones, confianza en
el logro de los objetivos de la empresa y
una comprensión adecuada del riesgo
residual.

MEA02.02 Revisar la eficacia Revisar la operación de los controles, incluido el

de los controles de monitoreo y la evidencia de prueba, para garantizar que
procesos de los controles dentro de los procesos comerciales
negocio. funcionen de manera efectiva. Incluir actividades para
mantener evidencia de la operación efectiva de los
controles a través de mecanismos tales como pruebas
periódicas, monitoreo continuo, evaluaciones
independientes, centros de comando y control y centros
de operación de red. Esta evidencia le asegura a la
empresa que los controles cumplen con los requisitos
relacionados con las responsabilidades comerciales,
regulatorias y sociales.

MEA02.03 Realizar Alentar a la gerencia y a los propietarios de los procesos

autoevaluaciones a mejorar los controles de manera proactiva a través de
de control. un programa continuo de autoevaluación que evalúe la
integridad y eficacia del control de la gerencia sobre los
procesos, las políticas y los contratos.

MEA02.04 Identificar y Identificar las deficiencias de control y analizar e

reportar identificar sus causas raíz subyacentes. Escalar las
deficiencias de deficiencias de control e informar a las partes
control. interesadas.

111
Asegúrese de que la empresa cumpla con MEA03.01 Identificar los Supervise de forma continua los cambios en las leyes,
todos los requisitos externos aplicables. requisitos de reglamentaciones y otros requisitos externos locales e
cumplimiento internacionales e identifique los mandatos de
externo. cumplimiento desde una perspectiva de I&T.

MEA03.02 Optimizar la Revisar y ajustar políticas, principios, estándares,

respuesta a procedimientos y metodologías para garantizar que se
requerimientos aborden y comuniquen los requisitos legales,
externos. reglamentarios y contractuales. Considere adoptar y
adaptar estándares de la industria, códigos de buenas
prácticas y guías de buenas prácticas.

MEA03.03 Confirmar el Confirmar el cumplimiento de las políticas, principios,

cumplimiento estándares, procedimientos y metodologías con los
externo. requisitos legales, reglamentarios y contractuales.
MEA03.04 Obtener Obtener y reportar garantías de cumplimiento y
aseguramiento del adherencia a políticas, principios, estándares,
cumplimiento procedimientos y metodologías. Confirme que las
externo. acciones correctivas para abordar las brechas de
cumplimiento se cierren de manera oportuna.

112
Permita que la organización diseñe y
desarrolle iniciativas de aseguramiento
eficientes y efectivas, brindando
orientación sobre la planificación, el
alcance, la ejecución y el seguimiento de las
revisiones de aseguramiento, utilizando una
hoja de ruta basada en enfoques de
aseguramiento bien aceptados.
MEA04.01 Asegurar que los Asegurar que las entidades que realizan el
proveedores de aseguramiento sean independientes de la función,
aseguramiento grupos u organizaciones en el alcance. Las entidades que
sean realizan el aseguramiento deben demostrar una actitud
independientes y y apariencia apropiadas, competencia en las habilidades
calificados. y conocimientos necesarios para realizar el
aseguramiento y adherencia a los códigos de ética y
estándares profesionales.

MEA04.02 Desarrollar la Determinar los objetivos de aseguramiento con base en

planificación las evaluaciones del entorno y contexto interno y
basada en el riesgo externo, el riesgo de no lograr los objetivos de la
de las iniciativas empresa y las oportunidades asociadas al logro de los
de aseguramiento. mismos objetivos.

MEA04.03 Determinar los Definir y acordar con todas las partes interesadas los
objetivos de la objetivos de la iniciativa de aseguramiento.
iniciativa de
aseguramiento.

MEA04.04 Definir el alcance Definir y acordar con todas las partes interesadas el
de la iniciativa de alcance de la iniciativa de aseguramiento, con base en
aseguramiento. los objetivos de aseguramiento.
MEA04.05 Definir el Definir un programa de trabajo detallado para la
programa de iniciativa de aseguramiento, estructurado de acuerdo
trabajo para la con los objetivos de gestión y los componentes de
iniciativa de gobierno en el alcance.
aseguramiento.

113
MEA04.06 Ejecutar la Ejecutar la iniciativa de aseguramiento planificada.
iniciativa de Validar y confirmar el diseño de los controles internos
aseguramiento, establecidos. Además, y específicamente en las
enfocándose en la asignaciones de auditoría interna, considere la
efectividad del rentabilidad del diseño del componente de gobierno.
diseño.

MEA04.07 Ejecutar la Ejecutar la iniciativa de aseguramiento planificada.

iniciativa de Probar si los controles internos establecidos son
aseguramiento, apropiados y suficientes. Probar el resultado de los
enfocándose en la objetivos clave de gestión en el ámbito de la iniciativa de
efectividad aseguramiento.
operativa.

MEA04.08 Informar y dar Proporcionar opiniones de aseguramiento positivas,

seguimiento a la cuando corresponda, y recomendaciones de mejora
iniciativa de relacionadas con el desempeño operativo identificado, el
aseguramiento. cumplimiento externo y las debilidades de control
interno.

MEA04.09 Seguimiento de Acordar, dar seguimiento e implementar las

recomendaciones recomendaciones de mejora identificadas.
y acciones.

114
A continuación se enumeran las actividades asociadas con cada una de las prácticas de gobierno y gestión en COBIT® 2019.
Las actividades se clasifican en el orden en que aparecen enCOBIT® Marco 2019: Gobernanza y Objetivos de Gestión.

Actividades: 1202
Área Dominio ID de objetivo Objetivo Identificación de Nombre de la Actividad
práctica práctica
Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.01 Evaluar el sistema de 1. Analizar e identificar los factores ambientales internos y
Monitorear y mantenimiento gobierno externos (obligaciones legales, regulatorias y contractuales) y
del marco de las tendencias en el entorno empresarial que pueden influir
gobernanza en el diseño de la gobernanza.
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.01 Evaluar el sistema de 2. Determinar la importancia de I&T y su papel con respecto al
Monitorear y mantenimiento gobierno negocio.
del marco de
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.01 Evaluar el sistema de 3. Considere las regulaciones, leyes y obligaciones
Monitorear y mantenimiento gobierno contractuales externas y determine cómo deben aplicarse
del marco de dentro del gobierno de I&T de la empresa.
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.01 Evaluar el sistema de 4. Determinar las implicaciones del entorno de control
Monitorear y mantenimiento gobierno empresarial general con respecto a I&T.
del marco de
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.01 Evaluar el sistema de 5. Alinear el uso y procesamiento ético de la información y su
Monitorear y mantenimiento gobierno impacto en la sociedad, el entorno natural y los intereses de
del marco de las partes interesadas internas y externas con la dirección, las
gobernanza metas y los objetivos de la empresa.
garantizado

115
Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.01 Evaluar el sistema de 6. Articular los principios que guiarán el diseño de la
Monitorear y mantenimiento gobierno gobernanza y la toma de decisiones de I&T.
del marco de
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.01 Evaluar el sistema de 7. Determinar el modelo óptimo de toma de decisiones para
Monitorear y mantenimiento gobierno I&T.
del marco de
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.01 Evaluar el sistema de 8. Determinar los niveles apropiados de delegación de
Monitorear y mantenimiento gobierno autoridad, incluidas las reglas de umbral, para las decisiones
del marco de de I&T.
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.02 Dirigir el sistema de 1. Comunicar los principios de gobernanza de I&T y acordar
Monitorear y mantenimiento gobierno. con la dirección ejecutiva la forma de establecer un liderazgo
del marco de informado y comprometido.
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.02 Dirigir el sistema de 2. Establecer o delegar el establecimiento de estructuras,
Monitorear y mantenimiento gobierno. procesos y prácticas de gobierno en línea con los principios de
del marco de diseño acordados.
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.02 Dirigir el sistema de 3. Establecer una junta de gobierno de I&T (o equivalente) a
Monitorear y mantenimiento gobierno. nivel de junta. Esta junta debe garantizar que la gobernanza
del marco de de la información y la tecnología, como parte de la
gobernanza gobernanza empresarial, se aborde adecuadamente; asesorar
garantizado sobre la dirección estratégica; y determinar la priorización de
los programas de inversión habilitados por I&T en línea con la
estrategia y las prioridades comerciales de la empresa.

116
Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.02 Dirigir el sistema de 4. Asignar responsabilidad, autoridad y rendición de cuentas
Monitorear y mantenimiento gobierno. para las decisiones de I&T de acuerdo con los principios de
del marco de diseño de gobernanza, los modelos de toma de decisiones y la
gobernanza delegación acordados.
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.02 Dirigir el sistema de 5. Asegurar que los mecanismos de comunicación y reporte
Monitorear y mantenimiento gobierno. brinden información adecuada a los responsables de la
del marco de supervisión y la toma de decisiones.
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.02 Dirigir el sistema de 6. Indicar que el personal siga las pautas relevantes para el
Monitorear y mantenimiento gobierno. comportamiento ético y profesional y garantizar que las
del marco de consecuencias del incumplimiento sean conocidas y aplicadas.
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.02 Dirigir el sistema de 7. Dirigir el establecimiento de un sistema de recompensas
Monitorear y mantenimiento gobierno. para promover el cambio cultural deseable.
del marco de
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.03 Supervisar el sistema 1. Evaluar la eficacia y el desempeño de las partes interesadas
Monitorear y mantenimiento de gobierno. a las que se les ha delegado la responsabilidad y la autoridad
del marco de para el gobierno de la I&T empresarial.
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.03 Supervisar el sistema 2. Evaluar periódicamente si la gobernanza acordada de los
Monitorear y mantenimiento de gobierno. mecanismos de I&T (estructuras, principios, procesos, etc.)
del marco de están establecidos y funcionan de manera efectiva.
gobernanza
garantizado

117
Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.03 Supervisar el sistema 3. Evaluar la efectividad del diseño de gobierno e identificar
Monitorear y mantenimiento de gobierno. acciones para corregir las desviaciones encontradas.
del marco de
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.03 Supervisar el sistema 4. Mantener la supervisión de la medida en que I&T cumple
Monitorear y mantenimiento de gobierno. con las obligaciones (regulatorias, legislativas, de derecho
del marco de consuetudinario, contractuales), políticas internas, estándares
gobernanza y lineamientos profesionales.
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.03 Supervisar el sistema 5. Supervisar la eficacia y el cumplimiento del sistema de
Monitorear y mantenimiento de gobierno. control de la empresa.
del marco de
gobernanza
garantizado

Gobernancia Evaluar, Dirigir y EDM01 Establecimiento EDM01.03 Supervisar el sistema 6. Monitorear los mecanismos regulares y rutinarios para
Monitorear y mantenimiento de gobierno. garantizar que el uso de I&T cumpla con las obligaciones
del marco de (regulatorias, legislativas, de derecho consuetudinario,
gobernanza contractuales), estándares y lineamientos pertinentes.
garantizado

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.01 Establecer la 1. Crear y mantener carteras de programas de inversión
Monitorear beneficios combinación de habilitados para I&T, servicios de TI y activos de TI, que
garantizados inversiones objetivo. forman la base del presupuesto de TI actual y respaldan los
planes tácticos y estratégicos de I&T.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.01 Establecer la 2. Obtener un entendimiento común entre TI y otras
Monitorear beneficios combinación de funciones comerciales sobre las oportunidades potenciales
garantizados inversiones objetivo. para que TI habilite y contribuya a la estrategia empresarial.

118
Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.01 Establecer la 3. Identificar las categorías amplias de sistemas de
Monitorear beneficios combinación de información, aplicaciones, datos, servicios de TI,
garantizados inversiones objetivo. infraestructura, activos de I&T, recursos, habilidades,
prácticas, controles y relaciones necesarios para respaldar la
estrategia empresarial.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.01 Establecer la 4. Acordar los objetivos de I&T, teniendo en cuenta las
Monitorear beneficios combinación de interrelaciones entre la estrategia empresarial y los servicios,
garantizados inversiones objetivo. activos y otros recursos de I&T. Identificar y aprovechar las
sinergias que se pueden lograr.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.01 Establecer la 5. Definir una combinación de inversiones que logre el
Monitorear beneficios combinación de equilibrio correcto entre una serie de dimensiones, incluido
garantizados inversiones objetivo. un equilibrio adecuado de rendimientos a corto y largo plazo,
beneficios financieros y no financieros e inversiones de alto y
bajo riesgo.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.02 Evaluar la 1. Comprender los requisitos de las partes interesadas;
Monitorear beneficios optimización del cuestiones estratégicas de I&T, como la dependencia de I&T; y
garantizados valor. conocimientos y capacidades tecnológicas con respecto a la
importancia real y potencial de I&T para la estrategia de la
empresa.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.02 Evaluar la 2. Comprender los elementos clave de la gobernanza
Monitorear beneficios optimización del necesarios para la entrega confiable, segura y rentable de
garantizados valor. valor óptimo a partir del uso de servicios, activos y recursos de
I&T existentes y nuevos.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.02 Evaluar la 3. Comprender y discutir regularmente las oportunidades que
Monitorear beneficios optimización del podrían surgir para la empresa a partir de los cambios
garantizados valor. habilitados por las tecnologías actuales, nuevas o emergentes,
y optimizar el valor creado a partir de esas oportunidades.

119
Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.02 Evaluar la 4. Comprender qué constituye valor para la empresa y
Monitorear beneficios optimización del considerar qué tan bien se comunica, comprende y aplica a lo
garantizados valor. largo de los procesos de la empresa.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.02 Evaluar la 5. Evaluar con qué eficacia se han integrado y alineado las
Monitorear beneficios optimización del estrategias empresariales y de I&T dentro de la empresa y con
garantizados valor. los objetivos empresariales para generar valor.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.02 Evaluar la 6. Comprender y considerar qué tan efectivos son los roles,
Monitorear beneficios optimización del responsabilidades, rendición de cuentas y órganos de toma de
garantizados valor. decisiones actuales para garantizar la creación de valor a
partir de inversiones, servicios y activos habilitados por I&T.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.02 Evaluar la 7. Considere qué tan bien se alinea la gestión de inversiones,
Monitorear beneficios optimización del servicios y activos habilitados por I&T con la gestión del valor
garantizados valor. empresarial y las prácticas de gestión financiera.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.02 Evaluar la 8. Evaluar la cartera de inversiones, servicios y activos para la
Monitorear beneficios optimización del alineación con los objetivos estratégicos de la empresa; valor
garantizados valor. empresarial, tanto financiero como no financiero; riesgo,
tanto el riesgo de entrega como el riesgo de beneficios;
alineación de procesos comerciales; efectividad en términos
de usabilidad, disponibilidad y capacidad de respuesta; y
eficiencia en términos de costo, redundancia y salud técnica.
Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.03 Optimización de valor 1. Definir y comunicar tipos de cartera e inversión, categorías,
Monitorear beneficios directo. criterios y ponderaciones relativas a los criterios para permitir
garantizados puntajes de valor relativo general.

120
Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.03 Optimización de valor 2. Definir los requisitos para las etapas y otras revisiones de la
Monitorear beneficios directo. importancia de la inversión para la empresa y el riesgo
garantizados asociado, cronogramas de programas, planes de financiación y
la entrega de capacidades y beneficios clave y la contribución
continua al valor.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.03 Optimización de valor 3. Dirigir a la gerencia para que considere posibles usos
Monitorear beneficios directo. innovadores de I&T que permitan a la empresa responder a
garantizados nuevas oportunidades o desafíos, emprender nuevos
negocios, aumentar la competitividad o mejorar los procesos.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.03 Optimización de valor 4. Dirigir cualquier cambio requerido en la asignación de
Monitorear beneficios directo. responsabilidades y responsabilidades para ejecutar la cartera
garantizados de inversiones y entregar valor de los procesos y servicios
comerciales.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.03 Optimización de valor 5. Dirigir los cambios necesarios a la cartera de inversiones y
Monitorear beneficios directo. servicios para realinearlos con los objetivos y/o limitaciones
garantizados actuales y esperados de la empresa.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.03 Optimización de valor 6. Recomendar la consideración de posibles innovaciones,
Monitorear beneficios directo. cambios organizacionales o mejoras operativas que podrían
garantizados impulsar un mayor valor para la empresa a partir de iniciativas
habilitadas por I&T.

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.03 Optimización de valor 7. Defina y comunique los objetivos de entrega de valor a nivel
Monitorear beneficios directo. empresarial y las medidas de resultados para permitir un
garantizados seguimiento eficaz.

121
Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.04 Optimización del valor 1. Definir un conjunto equilibrado de objetivos de desempeño,
Monitorear beneficios del monitor. métricas, metas y puntos de referencia. Las métricas deben
garantizados cubrir medidas de actividad y resultado, incluidos indicadores
de adelanto y retraso para los resultados, así como un
equilibrio adecuado de medidas financieras y no financieras.
Revíselos y acuerdelos con TI y otras funciones comerciales, y
otras partes interesadas relevantes.
Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.04 Optimización del valor 2. Recopilar datos relevantes, oportunos, completos, creíbles
Monitorear beneficios del monitor. y precisos para informar sobre el progreso en la entrega de
garantizados valor frente a los objetivos. Obtenga una visión sucinta, de
alto nivel y completa del rendimiento de la cartera, el
programa y las I&T (capacidades técnicas y operativas) que
respalde la toma de decisiones. Asegurarse de que se están
logrando los resultados esperados.
Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.04 Optimización del valor 3. Obtener informes regulares y relevantes de desempeño de
Monitorear beneficios del monitor. cartera, programa e I&T (tecnológica y funcional). Revisar el
garantizados progreso de la empresa hacia las metas identificadas y la
medida en que se lograron los objetivos planificados, se
obtuvieron los entregables, se cumplieron los objetivos de
desempeño y se mitiga el riesgo.
Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.04 Optimización del valor 4. Tras la revisión de los informes, asegúrese de que se inicien
Monitorear beneficios del monitor. y controlen las medidas correctivas de gestión adecuadas.
garantizados

Gobernancia Evaluar, Dirigir y EDM02 Entrega de EDM02.04 Optimización del valor 5. Tras la revisión de los informes, tomar las medidas de
Monitorear beneficios del monitor. gestión adecuadas según sea necesario para garantizar que se
garantizados optimice el valor.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.01 Evaluar la gestión de 1. Comprender la organización y su contexto relacionado con
Monitorear riesgos riesgos. el riesgo de I&T.
asegurada

122
Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.01 Evaluar la gestión de 2. Determinar el apetito de riesgo de la organización, es decir,
Monitorear riesgos riesgos. el nivel de riesgo relacionado con I&T que la empresa está
asegurada dispuesta a asumir en la búsqueda de los objetivos
empresariales.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.01 Evaluar la gestión de 3. Determinar los niveles de tolerancia al riesgo frente al
Monitorear riesgos riesgos. apetito por el riesgo, es decir, desviaciones temporalmente
asegurada aceptables del apetito por el riesgo.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.01 Evaluar la gestión de 4. Determinar el grado de alineación de la estrategia de riesgo
Monitorear riesgos riesgos. de I&T con la estrategia de riesgo empresarial y garantizar que
asegurada el apetito por el riesgo esté por debajo de la capacidad de
riesgo de la organización.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.01 Evaluar la gestión de 5. Evaluar proactivamente los factores de riesgo de I&T antes
Monitorear riesgos riesgos. de las decisiones empresariales estratégicas pendientes y
asegurada garantizar que las consideraciones de riesgo sean parte del
proceso de decisión empresarial estratégica.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.01 Evaluar la gestión de 6. Evaluar las actividades de gestión de riesgos para garantizar
Monitorear riesgos riesgos. la alineación con la capacidad de la empresa para las pérdidas
asegurada relacionadas con I&T y la tolerancia de los líderes.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.01 Evaluar la gestión de 7. Atraer y mantener las habilidades y el personal necesarios
Monitorear riesgos riesgos. para la gestión de riesgos de I&T
asegurada

123
Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.02 Gestión directa de 1. Dirigir la traducción e integración de la estrategia de riesgo
Monitorear riesgos riesgos. de I&T en las prácticas de gestión de riesgos y actividades
asegurada operativas.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.02 Gestión directa de 2. Dirigir el desarrollo de planes de comunicación de riesgos
Monitorear riesgos riesgos. (que cubran todos los niveles de la empresa).
asegurada

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.02 Gestión directa de 3. Implementación directa de los mecanismos apropiados
Monitorear riesgos riesgos. para responder rápidamente a los cambios en el riesgo e
asegurada informar de inmediato a los niveles apropiados de gestión,
con el apoyo de los principios acordados de escalamiento (qué
informar, cuándo, dónde y cómo).

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.02 Gestión directa de 4. Indicar que los riesgos, las oportunidades, los problemas y
Monitorear riesgos riesgos. las inquietudes pueden ser identificados e informados por
asegurada cualquier persona a la parte adecuada en cualquier momento.
El riesgo debe gestionarse de acuerdo con las políticas y los
procedimientos publicados y escalarse a los responsables de la
toma de decisiones pertinentes.
Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.02 Gestión directa de 5. Identificar los objetivos y métricas clave de los procesos de
Monitorear riesgos riesgos. gobierno y gestión de riesgos a monitorear, y aprobar los
asegurada enfoques, métodos, técnicas y procesos para capturar y
reportar la información de medición.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.03 Supervisar la gestión 1. Informar cualquier problema de gestión de riesgos a la
Monitorear riesgos de riesgos. junta o al comité ejecutivo.
asegurada

124
Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.03 Supervisar la gestión 2. Supervisar hasta qué punto se gestiona el perfil de riesgo
Monitorear riesgos de riesgos. dentro de los umbrales de tolerancia y apetito de riesgo de la
asegurada empresa.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.03 Supervisar la gestión 3. Supervisar los objetivos y métricas clave de los procesos de
Monitorear riesgos de riesgos. gobierno y gestión de riesgos frente a los objetivos, analizar la
asegurada causa de cualquier desviación e iniciar acciones correctivas
para abordar las causas subyacentes.

Gobernancia Evaluar, Dirigir y EDM03 Optimización de EDM03.03 Supervisar la gestión 4. Habilitar la revisión de las partes interesadas clave del
Monitorear riesgos de riesgos. progreso de la empresa hacia las metas identificadas.
asegurada

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.01 Evaluar la gestión de 1. A partir de las estrategias actuales y futuras, examine las
Monitorear recursos recursos. posibles opciones para proporcionar recursos relacionados
asegurada con I&T (tecnología, recursos financieros y humanos) y
desarrolle capacidades para satisfacer las necesidades
actuales y futuras (incluidas las opciones de abastecimiento).

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.01 Evaluar la gestión de 2. Definir los principios clave para la asignación de recursos y
Monitorear recursos recursos. la gestión de recursos y capacidades para que I&T pueda
asegurada satisfacer las necesidades de la empresa de acuerdo con las
prioridades acordadas y las restricciones presupuestarias. Por
ejemplo, defina opciones de abastecimiento preferidas para
ciertos servicios y límites financieros por opción de
abastecimiento.
Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.01 Evaluar la gestión de 3. Revisar y aprobar el plan de recursos y las estrategias de
Monitorear recursos recursos. arquitectura empresarial para entregar valor y mitigar el
asegurada riesgo con los recursos asignados.

125
Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.01 Evaluar la gestión de 4. Comprender los requisitos para alinear la gestión de
Monitorear recursos recursos. recursos de I&T con la planificación financiera y de recursos
asegurada humanos (HR) de la empresa.

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.01 Evaluar la gestión de 5. Definir principios para la gestión y control de la arquitectura
Monitorear recursos recursos. empresarial.
asegurada

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.02 Gestión directa de 1. Asignar responsabilidades para ejecutar la gestión de
Monitorear recursos recursos. recursos.
asegurada

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.02 Gestión directa de 2. Establecer principios relacionados con la salvaguardia de los
Monitorear recursos recursos. recursos.
asegurada

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.02 Gestión directa de 3. Comunicar e impulsar la adopción de las estrategias de
Monitorear recursos recursos. gestión de recursos, los principios y el plan de recursos
asegurada acordado y las estrategias de arquitectura empresarial.

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.02 Gestión directa de 4. Alinear la gestión de recursos con la planificación financiera
Monitorear recursos recursos. y de recursos humanos de la empresa.
asegurada

126
Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.02 Gestión directa de 5. Definir objetivos, medidas y métricas clave para la gestión
Monitorear recursos recursos. de recursos.
asegurada

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.03 Supervisar la gestión 1. Supervisar la asignación y optimización de recursos de
Monitorear recursos de recursos. acuerdo con los objetivos y prioridades de la empresa
asegurada utilizando metas y métricas acordadas.

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.03 Supervisar la gestión 2. Supervisar las estrategias de abastecimiento relacionadas
Monitorear recursos de recursos. con I&T, las estrategias de arquitectura empresarial y las
asegurada capacidades y recursos relacionados con el negocio y la TI
para garantizar que se puedan satisfacer las necesidades y
objetivos actuales y futuros de la empresa.

Gobernancia Evaluar, Dirigir y EDM04 Optimización de EDM04.03 Supervisar la gestión 3. Supervisar el rendimiento de los recursos frente a los
Monitorear recursos de recursos. objetivos, analizar la causa de las desviaciones e iniciar
asegurada acciones correctivas para abordar las causas subyacentes.

Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.01 Evaluar la 1. Identificar a todas las partes interesadas de I&T relevantes
Monitorear asegurado de las participación de las dentro y fuera de la empresa. Agrupe a las partes interesadas
partes partes interesadas y en categorías de partes interesadas con requisitos similares.
interesadas los requisitos de
presentación de
informes.
Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.01 Evaluar la 2. Examinar y emitir un juicio sobre los requisitos de informes
Monitorear asegurado de las participación de las obligatorios actuales y futuros relacionados con el uso de I&T
partes partes interesadas y dentro de la empresa (regulación, legislación, derecho
interesadas los requisitos de consuetudinario, contractual), incluido el alcance y la
presentación de frecuencia.
informes.

127
Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.01 Evaluar la 3. Examinar y emitir un juicio sobre los requisitos actuales y
Monitorear asegurado de las participación de las futuros de comunicación e informes para otras partes
partes partes interesadas y interesadas en relación con el uso de I&T dentro de la
interesadas los requisitos de empresa, incluido el nivel requerido de participación/consulta
presentación de y el alcance de la comunicación/nivel de detalle y condiciones.
informes.
Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.01 Evaluar la 4. Mantener principios para la comunicación con las partes
Monitorear asegurado de las participación de las interesadas externas e internas, incluidos los formatos y
partes partes interesadas y canales de comunicación, y para la aceptación y aprobación
interesadas los requisitos de de los informes por parte de las partes interesadas.
presentación de
informes.
Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.02 Participación directa 1. Dirigir el establecimiento de la estrategia de consulta y
Monitorear asegurado de las de las partes comunicación para los grupos de interés externos e internos.
partes interesadas,
interesadas comunicación e
informes.

Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.02 Participación directa 2. Dirigir la implementación de mecanismos para garantizar
Monitorear asegurado de las de las partes que la información cumpla con todos los criterios para los
partes interesadas, requisitos obligatorios de informes de I&T para la empresa.
interesadas comunicación e
informes.

Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.02 Participación directa 3. Establecer mecanismos de validación y aprobación de los
Monitorear asegurado de las de las partes informes obligatorios.
partes interesadas,
interesadas comunicación e
informes.

Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.02 Participación directa 4. Establecer mecanismos de escalada de denuncias.
Monitorear asegurado de las de las partes
partes interesadas,
interesadas comunicación e
informes.

128
Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.03 Supervisar la 1. Evaluar periódicamente la efectividad de los mecanismos
Monitorear asegurado de las participación de las para asegurar la exactitud y confiabilidad de la información
partes partes interesadas. obligatoria.
interesadas

Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.03 Supervisar la 2. Evaluar periódicamente la eficacia de los mecanismos y los
Monitorear asegurado de las participación de las resultados de la participación y comunicación con las partes
partes partes interesadas. interesadas externas e internas.
interesadas

Gobernancia Evaluar, Dirigir y EDM05 Compromiso EDM05.03 Supervisar la 3. Determinar si se cumplen los requisitos de las diferentes
Monitorear asegurado de las participación de las partes interesadas y evaluar los niveles de participación de las
partes partes interesadas. partes interesadas.
interesadas

Gestión Alinear, APO01 Marco de gestión APO01.01 Diseñar el sistema de 1. Obtener una comprensión de la visión, la dirección y la
planificar y de I&T gestión para I&T estrategia de la empresa, así como el contexto y los desafíos
organizar gestionado empresarial. actuales de la empresa.

Gestión Alinear, APO01 Marco de gestión APO01.01 Diseñar el sistema de 2. Considere el entorno interno de la empresa, incluida la
planificar y de I&T gestión para I&T cultura y la filosofía de gestión, la tolerancia al riesgo, la
organizar gestionado empresarial. política de seguridad y privacidad, los valores éticos, el código
de conducta, la responsabilidad y los requisitos para la
integridad de la gestión.

Gestión Alinear, APO01 Marco de gestión APO01.01 Diseñar el sistema de 3. Aplicar la cascada de objetivos de COBIT y los factores de
planificar y de I&T gestión para I&T diseño a la estrategia y el contexto de la empresa para decidir
organizar gestionado empresarial. sobre las prioridades para el sistema de gestión y, por lo
tanto, para la implementación de las prioridades de los
objetivos de gestión.

129
Gestión Alinear, APO01 Marco de gestión APO01.01 Diseñar el sistema de 4. Validar las prioridades seleccionadas para la
planificar y de I&T gestión para I&T implementación de los objetivos de gestión con buenas
organizar gestionado empresarial. prácticas o requisitos específicos de la industria (p. ej.,
reglamentaciones específicas de la industria) y con estructuras
de gobierno adecuadas.

Gestión Alinear, APO01 Marco de gestión APO01.02 Comunicar los 1. Proporcionar recursos suficientes y calificados para apoyar
planificar y de I&T objetivos de gestión, el proceso de comunicación.
organizar gestionado la dirección y las
decisiones tomadas.

Gestión Alinear, APO01 Marco de gestión APO01.02 Comunicar los 2. Definir las reglas básicas para la comunicación identificando
planificar y de I&T objetivos de gestión, las necesidades de comunicación e implementando planes
organizar gestionado la dirección y las basados en esas necesidades, considerando la comunicación
decisiones tomadas. de arriba hacia abajo, de abajo hacia arriba y horizontal.

Gestión Alinear, APO01 Marco de gestión APO01.02 Comunicar los 3. Comunicar continuamente los objetivos y la dirección de
planificar y de I&T objetivos de gestión, I&T. Asegurar que la comunicación sea apoyada por la
organizar gestionado la dirección y las dirección ejecutiva en acciones y palabras, utilizando todos los
decisiones tomadas. canales disponibles.

Gestión Alinear, APO01 Marco de gestión APO01.02 Comunicar los 4. Asegúrese de que la información comunicada abarque una
planificar y de I&T objetivos de gestión, misión, objetivos de servicio, política de seguridad y
organizar gestionado la dirección y las privacidad, controles internos, calidad, código de
decisiones tomadas. ética/conducta, políticas y procedimientos, funciones y
responsabilidades, etc. claramente articulados. Comunique la
información con el nivel de detalle adecuado para las
respectivas audiencias dentro de la empresa.
Gestión Alinear, APO01 Marco de gestión APO01.03 Implementar 1. Desarrollar el modelo de proceso objetivo de gobierno de
planificar y de I&T procesos de gestión I&T específico para la organización, basado en la selección de
organizar gestionado (para apoyar el logro objetivos de gestión prioritarios (salida de objetivos en
de los objetivos de cascada y ejercicio de factores de diseño).
gobierno y gestión).

130
Gestión Alinear, APO01 Marco de gestión APO01.03 Implementar 2. Analizar la brecha entre el modelo de proceso objetivo para
planificar y de I&T procesos de gestión la organización y las prácticas y actividades actuales.
organizar gestionado (para apoyar el logro
de los objetivos de
gobierno y gestión).

Gestión Alinear, APO01 Marco de gestión APO01.03 Implementar 3. Redactar una hoja de ruta para la implementación de
planificar y de I&T procesos de gestión prácticas y actividades de procesos faltantes. Use métricas de
organizar gestionado (para apoyar el logro práctica para hacer un seguimiento de la implementación
de los objetivos de exitosa.
gobierno y gestión).

Gestión Alinear, APO01 Marco de gestión APO01.04 Definir e implementar 1. Identificar las decisiones requeridas para el logro de los
planificar y de I&T las estructuras resultados empresariales y la estrategia de I&T y para la
organizar gestionado organizacionales. gestión y ejecución de los servicios de I&T.

Gestión Alinear, APO01 Marco de gestión APO01.04 Definir e implementar 2. Involucrar a las partes interesadas que son fundamentales
planificar y de I&T las estructuras para la toma de decisiones (responsables, responsables,
organizar gestionado organizacionales. consultadas o informadas).

Gestión Alinear, APO01 Marco de gestión APO01.04 Definir e implementar 3. Definir el alcance, el enfoque, el mandato y las
planificar y de I&T las estructuras responsabilidades de cada función dentro de la organización
organizar gestionado organizacionales. relacionada con I&T, de acuerdo con la dirección de gobierno.

Gestión Alinear, APO01 Marco de gestión APO01.04 Definir e implementar 4. Definir el alcance de las funciones internas y externas, los
planificar y de I&T las estructuras roles internos y externos, y las capacidades y derechos de
organizar gestionado organizacionales. decisión necesarios para cubrir todas las prácticas, incluidas
las realizadas por terceros.

131
Gestión Alinear, APO01 Marco de gestión APO01.04 Definir e implementar 5. Alinear la organización relacionada con I&T con modelos
planificar y de I&T las estructuras organizacionales de arquitectura empresarial.
organizar gestionado organizacionales.

Gestión Alinear, APO01 Marco de gestión APO01.04 Definir e implementar 6. Establecer un comité directivo de I&T (o equivalente)
planificar y de I&T las estructuras compuesto por ejecutivos, gerentes comerciales y de I&T para
organizar gestionado organizacionales. realizar un seguimiento del estado de los proyectos, resolver
conflictos de recursos y monitorear los niveles de servicio y las
mejoras del servicio.

Gestión Alinear, APO01 Marco de gestión APO01.04 Definir e implementar 7. Proporcionar pautas para cada estructura de gestión
planificar y de I&T las estructuras (incluidos el mandato, los objetivos, los asistentes a la
organizar gestionado organizacionales. reunión, el tiempo, el seguimiento, la supervisión y la
supervisión), así como los insumos necesarios y los resultados
esperados de las reuniones.

Gestión Alinear, APO01 Marco de gestión APO01.04 Definir e implementar 8. Verificar periódicamente la adecuación y eficacia de las
planificar y de I&T las estructuras estructuras organizativas.
organizar gestionado organizacionales.

Gestión Alinear, APO01 Marco de gestión APO01.05 Establecer roles y 1. Establecer, acordar y comunicar las funciones y
planificar y de I&T responsabilidades. responsabilidades relacionadas con I&T para todo el personal
organizar gestionado de la empresa, en consonancia con las necesidades y los
objetivos comerciales. Delimitar claramente las
responsabilidades y responsabilidades, especialmente para la
toma de decisiones y aprobaciones.
Gestión Alinear, APO01 Marco de gestión APO01.05 Establecer roles y 2. Considere los requisitos de la empresa y la continuidad del
planificar y de I&T responsabilidades. servicio de I&T al definir roles, incluidos los requisitos de
organizar gestionado capacitación cruzada y respaldo del personal.

132
Gestión Alinear, APO01 Marco de gestión APO01.05 Establecer roles y 3. Brindar información al proceso de continuidad del servicio
planificar y de I&T responsabilidades. de I&T manteniendo actualizada la información de contacto y
organizar gestionado las descripciones de funciones en la empresa.

Gestión Alinear, APO01 Marco de gestión APO01.05 Establecer roles y 4. Incluir requisitos específicos en las descripciones de
planificar y de I&T responsabilidades. funciones y responsabilidades con respecto al cumplimiento
organizar gestionado de las políticas y procedimientos de gestión, el código de ética
y las prácticas profesionales.

Gestión Alinear, APO01 Marco de gestión APO01.05 Establecer roles y 5. Asegurar que la rendición de cuentas se defina a través de
planificar y de I&T responsabilidades. roles y responsabilidades.
organizar gestionado

Gestión Alinear, APO01 Marco de gestión APO01.05 Establecer roles y 6. Estructurar roles y responsabilidades para reducir la
planificar y de I&T responsabilidades. posibilidad de que un solo rol comprometa un proceso crítico.
organizar gestionado

Gestión Alinear, APO01 Marco de gestión APO01.05 Establecer roles y 7. Implementar prácticas de supervisión adecuadas para
planificar y de I&T responsabilidades. garantizar que las funciones y responsabilidades se ejerzan
organizar gestionado correctamente, para evaluar si todo el personal tiene
autoridad y recursos suficientes para ejecutar sus funciones y
responsabilidades y, en general, para revisar el desempeño. El
nivel de supervisión debe estar alineado con la sensibilidad del
puesto y el alcance de las responsabilidades asignadas.
Gestión Alinear, APO01 Marco de gestión APO01.06 Optimizar la ubicación 1. Comprender el contexto para la colocación de la función de
planificar y de I&T de la función de TI. TI, incluida la evaluación de la estrategia empresarial y el
organizar gestionado modelo operativo (centralizado, federado, descentralizado,
híbrido), la importancia de I&T y la situación y las opciones de
abastecimiento.

133
Gestión Alinear, APO01 Marco de gestión APO01.06 Optimizar la ubicación 2. Identifique, evalúe y priorice las opciones para la ubicación
planificar y de I&T de la función de TI. organizacional, el abastecimiento y los modelos operativos.
organizar gestionado

Gestión Alinear, APO01 Marco de gestión APO01.06 Optimizar la ubicación 3. Definir la ubicación de la función de TI y obtener el acuerdo.
planificar y de I&T de la función de TI.
organizar gestionado

Gestión Alinear, APO01 Marco de gestión APO01.07 Definir la información 1. Proporcionar lineamientos para asegurar una clasificación
planificar y de I&T (datos) y la propiedad apropiada y consistente de elementos de información en toda
organizar gestionado del sistema. la empresa.

Gestión Alinear, APO01 Marco de gestión APO01.07 Definir la información 2. Crear y mantener un inventario de información (sistemas y
planificar y de I&T (datos) y la propiedad datos) que incluya una lista de propietarios, custodios y
organizar gestionado del sistema. clasificaciones. Incluya los sistemas que se subcontratan y
aquellos cuya propiedad debe permanecer dentro de la
empresa.

Gestión Alinear, APO01 Marco de gestión APO01.07 Definir la información 3. Evaluar y distinguir entre datos, información y sistemas
planificar y de I&T (datos) y la propiedad críticos (de alto valor) y no críticos. Garantizar la protección
organizar gestionado del sistema. adecuada para cada categoría.

Gestión Alinear, APO01 Marco de gestión APO01.08 Definir habilidades y 1. Identificar las habilidades y competencias necesarias para
planificar y de I&T competencias lograr los objetivos de gestión seleccionados.
organizar gestionado objetivo.

134
Gestión Alinear, APO01 Marco de gestión APO01.08 Definir habilidades y 2. Analizar la brecha entre las habilidades y capacidades
planificar y de I&T competencias objetivo para la empresa y las habilidades actuales de la
organizar gestionado objetivo. fuerza laboral. Consulte APO07—Recursos humanos
administrados para el desarrollo de habilidades y prácticas de
gestión.

Gestión Alinear, APO01 Marco de gestión APO01.09 Definir y comunicar 1. Cree un conjunto de políticas para impulsar las expectativas
planificar y de I&T políticas y de control de TI en temas clave relevantes como calidad,
organizar gestionado procedimientos. seguridad, privacidad, confidencialidad, controles internos,
uso de activos de I&T, ética y derechos de propiedad
intelectual (PI).

Gestión Alinear, APO01 Marco de gestión APO01.09 Definir y comunicar 2. Implementar y hacer cumplir las políticas de I&T de manera
planificar y de I&T políticas y uniforme para todo el personal relevante para que se integren
organizar gestionado procedimientos. y se conviertan en parte integral de las operaciones de la
empresa.

Gestión Alinear, APO01 Marco de gestión APO01.09 Definir y comunicar 3. Evaluar y actualizar las políticas al menos una vez al año
planificar y de I&T políticas y para adaptarse a entornos operativos o comerciales
organizar gestionado procedimientos. cambiantes.

Gestión Alinear, APO01 Marco de gestión APO01.10 Definir e implementar 1. Identificar los objetivos de gestión prioritarios que pueden
planificar y de I&T infraestructura, lograrse mediante la automatización de servicios, aplicaciones
organizar gestionado servicios y o infraestructura.
aplicaciones para
soportar el sistema de
gobierno y gestión.
Gestión Alinear, APO01 Marco de gestión APO01.10 Definir e implementar 2. Seleccionar e implementar las herramientas más adecuadas
planificar y de I&T infraestructura, y comunicarlas a las partes interesadas.
organizar gestionado servicios y
aplicaciones para
soportar el sistema de
gobierno y gestión.

135
Gestión Alinear, APO01 Marco de gestión APO01.10 Definir e implementar 3. Brindar capacitación sobre las herramientas seleccionadas,
planificar y de I&T infraestructura, según sea necesario.
organizar gestionado servicios y
aplicaciones para
soportar el sistema de
gobierno y gestión.
Gestión Alinear, APO01 Marco de gestión APO01.11 Gestionar la mejora 1. Evaluar regularmente el desempeño de los componentes
planificar y de I&T continua del sistema del marco y tomar las medidas apropiadas.
organizar gestionado de gestión de I&T.

Gestión Alinear, APO01 Marco de gestión APO01.11 Gestionar la mejora 2. Identificar procesos críticos para el negocio en función de
planificar y de I&T continua del sistema los impulsores de rendimiento y conformidad y el riesgo
organizar gestionado de gestión de I&T. relacionado. Evaluar la capacidad e identificar objetivos de
mejora. Analizar las brechas en la capacidad y el control.
Identificar opciones para mejorar o rediseñar el proceso.

Gestión Alinear, APO01 Marco de gestión APO01.11 Gestionar la mejora 3. Priorizar las iniciativas de mejora en función de los
planificar y de I&T continua del sistema beneficios y costos potenciales. Implemente las mejoras
organizar gestionado de gestión de I&T. acordadas, opere como una práctica comercial normal y
establezca objetivos y métricas de rendimiento para permitir
el seguimiento de las mejoras.

Gestión Alinear, APO01 Marco de gestión APO01.11 Gestionar la mejora 4. Considere formas de mejorar la eficiencia y la eficacia (p.
planificar y de I&T continua del sistema ej., mediante capacitación, documentación, estandarización
organizar gestionado de gestión de I&T. y/o automatización de procesos).

Gestión Alinear, APO01 Marco de gestión APO01.11 Gestionar la mejora 5. Aplicar prácticas de gestión de calidad para actualizar el
planificar y de I&T continua del sistema proceso.
organizar gestionado de gestión de I&T.

136
Gestión Alinear, APO01 Marco de gestión APO01.11 Gestionar la mejora 6. Retirar los componentes de gobierno obsoletos (procesos,
planificar y de I&T continua del sistema elementos de información, políticas, etc.).
organizar gestionado de gestión de I&T.

Gestión Alinear, APO02 Estrategia APO02.01 Habilite el cambio en 1. Desarrollar y mantener una comprensión del entorno
planificar y gestionada todos los diferentes externo de la empresa.
organizar aspectos de la
organización, desde
los canales y procesos
hasta los datos, la
cultura, las
Gestión Alinear, APO02 Estrategia APO02.01 Habilite el cambio en 2. Desarrollar y mantener una comprensión de la forma actual
planificar y gestionada todos los diferentes de trabajar, incluido el entorno operativo, la arquitectura
organizar aspectos de la empresarial (dominios de negocios, información, datos,
organización, desde aplicaciones y tecnología), la cultura empresarial y los desafíos
los canales y procesos actuales.
hasta los datos, la
cultura, las
Gestión Alinear, APO02 Estrategia APO02.01 Habilite el cambio en 3. Desarrollar y mantener una comprensión de la futura
planificar y gestionada todos los diferentes dirección de la empresa, incluida la estrategia, las metas y los
organizar aspectos de la objetivos de la empresa. Comprender el nivel de ambición de
organización, desde la empresa en términos de digitalización, que puede incluir
los canales y procesos una gama de objetivos cada vez más ambiciosos, desde
hasta los datos, la reducir costos, aumentar la atención al cliente o llegar al
cultura, las mercado más rápido mediante la digitalización de las
Gestión Alinear, APO02 Estrategia APO02.01 Habilite el cambio en 4. Identifique a las partes interesadas clave y obtenga
planificar y gestionada todos los diferentes información sobre sus requisitos.
organizar aspectos de la
organización, desde
los canales y procesos
hasta los datos, la
cultura, las
Gestión Alinear, APO02 Estrategia APO02.02 Evaluar las 1. Desarrollar una línea de base de las capacidades y servicios
planificar y gestionada capacidades actuales, comerciales y de I&T actuales. Incluya la evaluación de los
organizar el rendimiento y la servicios provistos externamente, la gobernanza de I&T y las
madurez digital de la habilidades y competencias relacionadas con I&T en toda la
empresa. empresa.

137
Gestión Alinear, APO02 Estrategia APO02.02 Evaluar las 2. Evaluar la madurez digital en diferentes dimensiones (p. ej.,
planificar y gestionada capacidades actuales, capacidad de liderazgo para aprovechar la tecnología, nivel de
organizar el rendimiento y la riesgo tecnológico aceptado, enfoque de la innovación,
madurez digital de la cultura y nivel de conocimiento de los usuarios). Evaluar el
empresa. apetito por el cambio.

Gestión Alinear, APO02 Estrategia APO02.03 Definir las 1. Resumir el contexto y la dirección de la empresa e
planificar y gestionada capacidades digitales identificar aspectos específicos de I&T de la estrategia
organizar objetivo. empresarial (p. ej., procesos de digitalización, implementación
de nuevas tecnologías, soporte de arquitectura heredada,
aplicación de nuevos modelos de negocios digitales, desarrollo
de cartera de productos digitales, etc.).
Gestión Alinear, APO02 Estrategia APO02.03 Definir las 2. Definir objetivos y metas de I&T de alto nivel y especificar
planificar y gestionada capacidades digitales su contribución a los objetivos de la empresa.
organizar objetivo.

Gestión Alinear, APO02 Estrategia APO02.03 Definir las 3. Detallar los servicios y productos de I&T requeridos para
planificar y gestionada capacidades digitales alcanzar los objetivos de la empresa. Considere ideas
organizar objetivo. validadas de innovación o tecnología emergente, estándares
de referencia, capacidades de negocios e I&T de la
competencia, puntos de referencia comparativos de buenas
prácticas y provisión de servicios de I&T emergentes.
Gestión Alinear, APO02 Estrategia APO02.03 Definir las 4. Determinar las capacidades, metodologías y enfoques
planificar y gestionada capacidades digitales organizativos de I&T necesarios para realizar la cartera de
organizar objetivo. productos y servicios de I&T definida. Considere diferentes
metodologías de desarrollo (ágil, scrum, cascada, TI bimodal),
según los requisitos comerciales. Considere cómo cada uno
podría ayudar a alcanzar los objetivos de I&T.
Gestión Alinear, APO02 Estrategia APO02.04 Llevar a cabo un 1. Identificar todas las lagunas y cambios necesarios para
planificar y gestionada análisis de brechas. realizar el entorno de destino.
organizar

138
Gestión Alinear, APO02 Estrategia APO02.04 Llevar a cabo un 2. Describir cambios de alto nivel en la arquitectura
planificar y gestionada análisis de brechas. empresarial (dominios de negocios, información, datos,
organizar aplicaciones y tecnología).

Gestión Alinear, APO02 Estrategia APO02.04 Llevar a cabo un 3. Considere las implicaciones de alto nivel de todas las
planificar y gestionada análisis de brechas. brechas. Evaluar el impacto de los posibles cambios en los
organizar modelos operativos de negocio e I&T, las capacidades de
investigación y desarrollo de I&T y los programas de inversión
en I&T.

Gestión Alinear, APO02 Estrategia APO02.04 Llevar a cabo un 4. Considere el valor de los posibles cambios en las
planificar y gestionada análisis de brechas. capacidades comerciales y de TI, los servicios de I&T y la
organizar arquitectura empresarial, y las implicaciones si no se realizan
cambios.

Gestión Alinear, APO02 Estrategia APO02.04 Llevar a cabo un 5. Refinar la definición del entorno de destino y preparar una
planificar y gestionada análisis de brechas. declaración de valores que describa los beneficios del entorno
organizar de destino.

Gestión Alinear, APO02 Estrategia APO02.05 Definir el plan 1. Definir las iniciativas necesarias para cerrar las brechas
planificar y gestionada estratégico y la hoja entre el entorno actual y el objetivo. Integre las iniciativas en
organizar de ruta. una estrategia de I&T coherente que alinee la I&T con todos
los aspectos del negocio.

Gestión Alinear, APO02 Estrategia APO02.05 Definir el plan 2. Detallar una hoja de ruta que defina los pasos
planificar y gestionada estratégico y la hoja incrementales requeridos para alcanzar las metas y objetivos
organizar de ruta. de la estrategia de I&T. Asegúrese de que se incluyan acciones
para capacitar a las personas con nuevas habilidades, apoyar
la adopción de nuevas tecnologías, sostener el cambio en toda
la organización, etc.

139
Gestión Alinear, APO02 Estrategia APO02.05 Definir el plan 3. Considere el ecosistema externo (socios empresariales,
planificar y gestionada estratégico y la hoja proveedores, nuevas empresas, etc.) para ayudar a respaldar
organizar de ruta. la ejecución de la hoja de ruta.

Gestión Alinear, APO02 Estrategia APO02.05 Definir el plan 4. Agrupar acciones en programas y/o proyectos con una
planificar y gestionada estratégico y la hoja meta o entrega clara. Para cada proyecto, identifique los
organizar de ruta. requisitos de recursos de alto nivel, el cronograma, el
presupuesto operativo/de inversión, el riesgo, el impacto del
cambio, etc.

Gestión Alinear, APO02 Estrategia APO02.05 Definir el plan 5. Determinar dependencias, superposiciones, sinergias e
planificar y gestionada estratégico y la hoja impactos entre proyectos y priorizar.
organizar de ruta.

Gestión Alinear, APO02 Estrategia APO02.05 Definir el plan 6. Finalizar la hoja de ruta, indicando la programación relativa
planificar y gestionada estratégico y la hoja y las interdependencias de los proyectos.
organizar de ruta.

Gestión Alinear, APO02 Estrategia APO02.05 Definir el plan 7. Asegure el enfoque en el viaje de transformación. Designe
planificar y gestionada estratégico y la hoja un campeón de la transformación digital y la alineación entre
organizar de ruta. el negocio y la I&T (director digital [CDO] u otro rol tradicional
de C-suite).

Gestión Alinear, APO02 Estrategia APO02.05 Definir el plan 8. Obtener apoyo y aprobación formal del plan de las partes
planificar y gestionada estratégico y la hoja interesadas.
organizar de ruta.

140
Gestión Alinear, APO02 Estrategia APO02.05 Definir el plan 9. Traducir los objetivos en resultados medibles representados
planificar y gestionada estratégico y la hoja por métricas (qué) y objetivos (cuánto). Asegúrese de que los
organizar de ruta. resultados y las medidas se correlacionen con los beneficios
de la empresa.

Gestión Alinear, APO02 Estrategia APO02.06 Comunicar la 1. Desarrollar un plan de comunicación que cubra los
planificar y gestionada estrategia y dirección mensajes requeridos, las audiencias objetivo, los
organizar de I&T. mecanismos/canales de comunicación y los cronogramas.

Gestión Alinear, APO02 Estrategia APO02.06 Comunicar la 2. Preparar un paquete de comunicación que entregue el plan
planificar y gestionada estrategia y dirección de manera efectiva, utilizando los medios y tecnologías
organizar de I&T. disponibles.

Gestión Alinear, APO02 Estrategia APO02.06 Comunicar la 3. Desarrollar y mantener una red para respaldar, apoyar e
planificar y gestionada estrategia y dirección impulsar la estrategia de I&T.
organizar de I&T.

Gestión Alinear, APO02 Estrategia APO02.06 Comunicar la 4. Obtenga comentarios y actualice el plan de comunicación y
planificar y gestionada estrategia y dirección la entrega según sea necesario.
organizar de I&T.

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 1. Identificar las partes interesadas clave y sus
planificar y empresarial de la arquitectura preocupaciones/objetivos. Defina los requisitos clave de la
organizar gestionada empresarial. empresa que se abordarán, así como las vistas de la
arquitectura que se desarrollarán para satisfacer los requisitos
de las partes interesadas.

141
Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 2. Identificar los objetivos empresariales y los impulsores
planificar y empresarial de la arquitectura estratégicos. Defina las restricciones que deben abordarse,
organizar gestionada empresarial. incluidas las restricciones de toda la empresa y las específicas
del proyecto (por ejemplo, tiempo, cronograma, recursos,
etc.).

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 3. Alinear los objetivos de la arquitectura con las prioridades
planificar y empresarial de la arquitectura estratégicas del programa.
organizar gestionada empresarial.

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 4. Comprender las capacidades y objetivos de la empresa,
planificar y empresarial de la arquitectura luego identificar opciones para alcanzar esos objetivos.
organizar gestionada empresarial.

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 5. Evaluar la preparación de la empresa para el cambio.
planificar y empresarial de la arquitectura
organizar gestionada empresarial.

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 6. Definir el alcance de la arquitectura de referencia y la
planificar y empresarial de la arquitectura arquitectura de destino. Enumere los elementos que están
organizar gestionada empresarial. dentro del alcance, así como los que están fuera del alcance.
(La arquitectura de referencia y la de destino no necesitan
describirse con el mismo nivel de detalle).

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 7. Comprender las metas y objetivos estratégicos actuales de
planificar y empresarial de la arquitectura la empresa. Trabaje dentro del proceso de planificación
organizar gestionada empresarial. estratégica para garantizar que las oportunidades de
arquitectura empresarial relacionadas con I&T se aprovechen
en el desarrollo del plan estratégico.

142
Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 8. Con base en las inquietudes de las partes interesadas, los
planificar y empresarial de la arquitectura requisitos de capacidad comercial, el alcance, las restricciones
organizar gestionada empresarial. y los principios, cree la visión de la arquitectura (es decir, la
vista de alto nivel de las arquitecturas de referencia y de
destino).

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 9. Confirmar y elaborar principios de arquitectura, incluidos
planificar y empresarial de la arquitectura los principios empresariales. Asegúrese de que las definiciones
organizar gestionada empresarial. existentes estén actualizadas. Aclare cualquier área de
ambigüedad.

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 10. Identificar el riesgo de cambio empresarial asociado con la
planificar y empresarial de la arquitectura visión de la arquitectura. Evaluar el nivel inicial de riesgo (por
organizar gestionada empresarial. ejemplo, crítico, marginal o insignificante). Desarrollar una
estrategia de mitigación para cada riesgo significativo.

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 11. Desarrollar un caso de negocio de concepto de
planificar y empresarial de la arquitectura arquitectura empresarial y planes de esquema y declaración
organizar gestionada empresarial. de trabajo de arquitectura. Asegure la aprobación para iniciar
un proyecto alineado e integrado con la estrategia
empresarial.

Gestión Alinear, APO03 Arquitectura APO03.01 Desarrollar la visión 12. Definir las propuestas de valor, objetivos y métricas de la
planificar y empresarial de la arquitectura arquitectura objetivo.
organizar gestionada empresarial.

Gestión Alinear, APO03 Arquitectura APO03.02 Defina la arquitectura 1. Mantener un repositorio de arquitectura que contenga
planificar y empresarial de referencia. estándares, componentes reutilizables, artefactos de
organizar gestionada modelado, relaciones, dependencias y vistas, para permitir la
uniformidad de la organización y el mantenimiento de la
arquitectura.

143
Gestión Alinear, APO03 Arquitectura APO03.02 Defina la arquitectura 2. Seleccionar puntos de vista de referencia del repositorio de
planificar y empresarial de referencia. arquitectura que permitan al arquitecto demostrar cómo se
organizar gestionada abordan las preocupaciones de las partes interesadas en la
arquitectura.

Gestión Alinear, APO03 Arquitectura APO03.02 Defina la arquitectura 3. Para cada punto de vista, seleccione los modelos necesarios
planificar y empresarial de referencia. para respaldar la vista específica requerida. Use herramientas
organizar gestionada o métodos seleccionados y el nivel apropiado de
descomposición.

Gestión Alinear, APO03 Arquitectura APO03.02 Defina la arquitectura 4. Desarrollar descripciones de dominio de arquitectura de
planificar y empresarial de referencia. referencia, utilizando el alcance y el nivel de detalle
organizar gestionada necesarios para respaldar la arquitectura de destino y, en la
medida de lo posible, identificando los bloques de
construcción de arquitectura relevantes del repositorio de
arquitectura.
Gestión Alinear, APO03 Arquitectura APO03.02 Defina la arquitectura 5. Mantener un modelo de arquitectura de procesos como
planificar y empresarial de referencia. parte de las descripciones de dominio de referencia y de
organizar gestionada destino. Estandarizar las descripciones y documentación de
los procesos. Defina las funciones y responsabilidades de los
responsables de la toma de decisiones del proceso, el
propietario del proceso, los usuarios del proceso, el equipo del
proceso y cualquier otra parte interesada del proceso que
Gestión Alinear, APO03 Arquitectura APO03.02 Defina la arquitectura 6. Mantener un modelo de arquitectura de la información
planificar y empresarial de referencia. como parte de las descripciones de la línea de base y del
organizar gestionada dominio de destino, coherente con la estrategia empresarial
para adquirir, almacenar y utilizar los datos de manera óptima
en apoyo de la toma de decisiones.

Gestión Alinear, APO03 Arquitectura APO03.02 Defina la arquitectura 7. Verificar modelos de arquitectura para la consistencia
planificar y empresarial de referencia. interna y la precisión. Realice un análisis de brechas entre la
organizar gestionada línea de base y el objetivo. Priorice las brechas y defina los
componentes nuevos o modificados que deben desarrollarse
para la arquitectura de destino. Resolver incompatibilidades,
inconsistencias o conflictos dentro de la arquitectura de
destino.

144
Gestión Alinear, APO03 Arquitectura APO03.02 Defina la arquitectura 8. Llevar a cabo una revisión formal de las partes interesadas
planificar y empresarial de referencia. examinando la arquitectura propuesta contra la intención
organizar gestionada original del proyecto de arquitectura y la declaración del
trabajo de arquitectura.

Gestión Alinear, APO03 Arquitectura APO03.02 Defina la arquitectura 9. Finalizar las arquitecturas de dominio de negocios,
planificar y empresarial de referencia. información, datos, aplicaciones y tecnología. Cree un
organizar gestionada documento de definición de arquitectura.

Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 1. Determinar y confirmar los atributos de cambio clave de la
planificar y empresarial oportunidades y empresa. Considere la cultura empresarial, el impacto
organizar gestionada soluciones. potencial de la cultura en la implementación de la
arquitectura y las capacidades de transición de la empresa.

Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 2. Identifique los impulsores de la empresa que limitarían la
planificar y empresarial oportunidades y secuencia de implementación. Incluya una revisión de los
organizar gestionada soluciones. planes estratégicos y comerciales de la empresa y de la línea
de negocios. Considere la madurez de la arquitectura
empresarial actual.

Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 3. Revisar y consolidar los resultados del análisis de brechas
planificar y empresarial oportunidades y entre las arquitecturas de referencia y de destino. Evaluar las
organizar gestionada soluciones. implicaciones con respecto a las posibles soluciones,
oportunidades, interdependencias y alineación con los
programas actuales habilitados para I&T.

Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 4. Evaluar los requisitos, las brechas, las soluciones y otros
planificar y empresarial oportunidades y factores para identificar un conjunto mínimo de requisitos
organizar gestionada soluciones. funcionales cuya integración en los paquetes de trabajo
conduciría a una implementación más eficiente y efectiva de
la arquitectura objetivo.

145
Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 5. Conciliar los requisitos consolidados con las posibles
planificar y empresarial oportunidades y soluciones.
organizar gestionada soluciones.

Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 6. Refinar las dependencias iniciales e identificar las
planificar y empresarial oportunidades y restricciones en los planes de implementación y migración.
organizar gestionada soluciones. Compile un informe de análisis de dependencia.

Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 7. Confirmar la preparación de la empresa para la
planificar y empresarial oportunidades y transformación empresarial y el riesgo asociado con ella.
organizar gestionada soluciones.

Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 8. Formular una estrategia de alto nivel para la
planificar y empresarial oportunidades y implementación y migración. Implemente la arquitectura de
organizar gestionada soluciones. destino (y organice cualquier arquitectura de transición) de
acuerdo con la estrategia, los objetivos y los plazos generales
de la empresa.

Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 9. Identificar y agrupar los principales paquetes de trabajo en
planificar y empresarial oportunidades y un conjunto coherente de programas y proyectos, respetando
organizar gestionada soluciones. la dirección y el enfoque de la implementación estratégica de
la empresa.

Gestión Alinear, APO03 Arquitectura APO03.03 Seleccionar 10. Desarrollar arquitecturas de transición donde el alcance
planificar y empresarial oportunidades y del cambio requerido por la arquitectura objetivo requiera un
organizar gestionada soluciones. enfoque incremental.

146
Gestión Alinear, APO03 Arquitectura APO03.04 Definir la 1. Establecer elementos requeridos en el plan de
planificar y empresarial implementación de la implementación y migración como parte de la planificación de
organizar gestionada arquitectura. programas y proyectos. Asegúrese de que el plan se alinee
con los requisitos de los tomadores de decisiones relevantes.

Gestión Alinear, APO03 Arquitectura APO03.04 Definir la 2. Confirmar incrementos y fases de la arquitectura de
planificar y empresarial implementación de la transición. Actualizar el documento de definición de
organizar gestionada arquitectura. arquitectura.

Gestión Alinear, APO03 Arquitectura APO03.04 Definir la 3. Definir y completar la implementación de la arquitectura y
planificar y empresarial implementación de la el plan de migración, incluidos los requisitos de gobierno
organizar gestionada arquitectura. relevantes. Integrar el plan, las actividades y las dependencias
en la planificación de programas y proyectos.

Gestión Alinear, APO03 Arquitectura APO03.04 Definir la 4. Comunicar la hoja de ruta arquitectónica definida a las
planificar y empresarial implementación de la partes interesadas relevantes. Informar a las partes
organizar gestionada arquitectura. interesadas sobre la definición de la arquitectura objetivo, las
pautas y los principios de la arquitectura, la cartera de
servicios, etc.

Gestión Alinear, APO03 Arquitectura APO03.05 Proporcionar servicios 1. Confirmar el alcance y las prioridades y brindar orientación
planificar y empresarial de arquitectura para el desarrollo y la implementación de soluciones (p. ej.,
organizar gestionada empresarial. mediante el uso de una arquitectura orientada a servicios).

Gestión Alinear, APO03 Arquitectura APO03.05 Proporcionar servicios 2. Administrar los requisitos de la arquitectura empresarial y
planificar y empresarial de arquitectura respaldar el negocio y la TI con asesoramiento y experiencia
organizar gestionada empresarial. en principios arquitectónicos, modelos y bloques de
construcción. Garantice que las nuevas implementaciones (así
como los cambios en la arquitectura actual) se alineen con los
principios y requisitos de la arquitectura empresarial.

147
Gestión Alinear, APO03 Arquitectura APO03.05 Proporcionar servicios 3. Administrar la cartera de servicios de arquitectura
planificar y empresarial de arquitectura empresarial y garantizar la alineación con los objetivos
organizar gestionada empresarial. estratégicos y el desarrollo de soluciones.

Gestión Alinear, APO03 Arquitectura APO03.05 Proporcionar servicios 4. Identificar las prioridades de la arquitectura empresarial.
planificar y empresarial de arquitectura Alinear las prioridades con los impulsores de valor. Defina y
organizar gestionada empresarial. recopile métricas de valor y mida y comunique el valor de la
arquitectura empresarial.

Gestión Alinear, APO03 Arquitectura APO03.05 Proporcionar servicios 5. Establecer un foro de tecnología para proporcionar pautas
planificar y empresarial de arquitectura arquitectónicas, asesorar proyectos y guiar la selección de
organizar gestionada empresarial. tecnología. Mida el cumplimiento de las normas y directrices,
incluido el cumplimiento de los requisitos externos y la
relevancia empresarial interna.

Gestión Alinear, APO04 Innovación APO04.01 Crear un entorno 1. Crear un plan de innovación que incluya apetito de riesgo,
planificar y Gestionada propicio para la una propuesta de presupuesto para iniciativas de innovación y
organizar innovación. objetivos de innovación.

Gestión Alinear, APO04 Innovación APO04.01 Crear un entorno 2. Proporcionar infraestructura que pueda ser un componente
planificar y Gestionada propicio para la de gobernanza para la innovación (p. ej., herramientas de
organizar innovación. colaboración para mejorar el trabajo entre ubicaciones
geográficas y/o divisiones).

Gestión Alinear, APO04 Innovación APO04.01 Crear un entorno 3. Mantener un personal que permita al programa presentar
planificar y Gestionada propicio para la ideas de innovación y crear una estructura de toma de
organizar innovación. decisiones adecuada para evaluar y hacer avanzar las ideas.

148
Gestión Alinear, APO04 Innovación APO04.01 Crear un entorno 4. Fomentar las ideas de innovación de los clientes,
planificar y Gestionada propicio para la proveedores y socios comerciales.
organizar innovación.

Gestión Alinear, APO04 Innovación APO04.02 Mantener una 1. Mantener una comprensión de los impulsores de la
planificar y Gestionada comprensión del industria y el negocio, la estrategia empresarial y de I&T, y las
organizar entorno empresarial. operaciones empresariales y los desafíos actuales. Aplicar la
comprensión para identificar tecnología de valor agregado
potencial e innovar en I&T.

Gestión Alinear, APO04 Innovación APO04.02 Mantener una 2. Llevar a cabo reuniones periódicas con unidades
planificar y Gestionada comprensión del comerciales, divisiones u otras entidades interesadas para
organizar entorno empresarial. comprender los problemas comerciales actuales, los cuellos
de botella en los procesos u otras limitaciones donde las
tecnologías emergentes o la innovación en I&T pueden crear
oportunidades.
Gestión Alinear, APO04 Innovación APO04.02 Mantener una 3. Comprender los parámetros de inversión empresarial para
planificar y Gestionada comprensión del la innovación y las nuevas tecnologías para que se desarrollen
organizar entorno empresarial. las estrategias adecuadas.

Gestión Alinear, APO04 Innovación APO04.03 Supervisar y escanear 1. Comprender el apetito empresarial y el potencial de
planificar y Gestionada el entorno innovación tecnológica. Centrar los esfuerzos de
organizar tecnológico. sensibilización en las innovaciones tecnológicas más
oportunas.

Gestión Alinear, APO04 Innovación APO04.03 Supervisar y escanear 2. Establecer un proceso de vigilancia tecnológica y realizar
planificar y Gestionada el entorno investigaciones y análisis del entorno externo, incluidos sitios
organizar tecnológico. web, revistas y conferencias apropiados, para identificar
tecnologías emergentes y su valor potencial para la empresa.

149
Gestión Alinear, APO04 Innovación APO04.03 Supervisar y escanear 3. Consultar a expertos externos según sea necesario para
planificar y Gestionada el entorno confirmar la investigación o proporcionar información sobre
organizar tecnológico. tecnologías emergentes.

Gestión Alinear, APO04 Innovación APO04.03 Supervisar y escanear 4. Captar ideas de innovación de I&T del personal y revisarlas
planificar y Gestionada el entorno para su posible implementación.
organizar tecnológico.

Gestión Alinear, APO04 Innovación APO04.04 Evaluar el potencial 1. Evaluar las tecnologías identificadas, considerando aspectos
planificar y Gestionada de las tecnologías como el tiempo para alcanzar la madurez, el riesgo inherente
organizar emergentes y las (incluidas las posibles implicaciones legales), la adecuación a
ideas innovadoras. la arquitectura empresarial y el valor potencial, en línea con la
estrategia empresarial y de I&T.

Gestión Alinear, APO04 Innovación APO04.04 Evaluar el potencial 2. Identificar problemas que pueden necesitar ser resueltos o
planificar y Gestionada de las tecnologías validados a través de una iniciativa de prueba de concepto.
organizar emergentes y las
ideas innovadoras.

Gestión Alinear, APO04 Innovación APO04.04 Evaluar el potencial 3. Alcance de la iniciativa de prueba de concepto, incluidos los
planificar y Gestionada de las tecnologías resultados deseados, el presupuesto requerido, los plazos y
organizar emergentes y las las responsabilidades.
ideas innovadoras.

Gestión Alinear, APO04 Innovación APO04.04 Evaluar el potencial 4. Obtener la aprobación de la iniciativa de prueba de
planificar y Gestionada de las tecnologías concepto.
organizar emergentes y las
ideas innovadoras.

150
Gestión Alinear, APO04 Innovación APO04.04 Evaluar el potencial 5. Llevar a cabo iniciativas de prueba de concepto para probar
planificar y Gestionada de las tecnologías tecnologías emergentes u otras ideas innovadoras. Identifique
organizar emergentes y las los problemas y determine si se debe considerar la
ideas innovadoras. implementación o el despliegue en función de la viabilidad y el
ROI potencial.

Gestión Alinear, APO04 Innovación APO04.05 Recomendar otras 1. Documentar los resultados de la prueba de concepto,
planificar y Gestionada iniciativas apropiadas. incluida la orientación y las recomendaciones para las
organizar tendencias y los programas de innovación.

Gestión Alinear, APO04 Innovación APO04.05 Recomendar otras 2. Comunicar oportunidades de innovación viables en la
planificar y Gestionada iniciativas apropiadas. estrategia de I&T y los procesos de arquitectura empresarial.
organizar

Gestión Alinear, APO04 Innovación APO04.05 Recomendar otras 3. Analizar y comunicar los motivos de las iniciativas de
planificar y Gestionada iniciativas apropiadas. prueba de concepto rechazadas.
organizar

Gestión Alinear, APO04 Innovación APO04.05 Recomendar otras 4. Dar seguimiento a las iniciativas de prueba de concepto
planificar y Gestionada iniciativas apropiadas. para medir la inversión real.
organizar

Gestión Alinear, APO04 Innovación APO04.06 Monitorear la 1. Captar las lecciones aprendidas y las oportunidades de
planificar y Gestionada implementación y el mejora.
organizar uso de la innovación.

151
Gestión Alinear, APO04 Innovación APO04.06 Monitorear la 2. Garantizar que las iniciativas de innovación se alineen con la
planificar y Gestionada implementación y el estrategia empresarial y de I&T. Supervise la alineación
organizar uso de la innovación. continuamente. Ajustar el plan de innovación, si es necesario.

Gestión Alinear, APO04 Innovación APO04.06 Monitorear la 3. Evaluar la nueva tecnología o las innovaciones de I&T
planificar y Gestionada implementación y el implementadas como parte de la estrategia de I&T y el
organizar uso de la innovación. desarrollo de la arquitectura empresarial. Evaluar el nivel de
adopción durante la gestión del programa de iniciativas.

Gestión Alinear, APO04 Innovación APO04.06 Monitorear la 4. Identificar y evaluar el valor potencial de la innovación.
planificar y Gestionada implementación y el
organizar uso de la innovación.

Gestión Alinear, APO05 Portafolio APO05.01 Determinar la 1. Comprender la disponibilidad actual y el compromiso de los
planificar y Administrado disponibilidad y fondos, el gasto actual aprobado y el gasto real hasta la fecha.
organizar fuentes de fondos.

Gestión Alinear, APO05 Portafolio APO05.01 Determinar la 2. Identificar opciones para financiamiento adicional de
planificar y Administrado disponibilidad y inversiones habilitadas por I&T, considerando fuentes tanto
organizar fuentes de fondos. internas como externas.

Gestión Alinear, APO05 Portafolio APO05.01 Determinar la 3. Determinar las implicaciones de la fuente de financiamiento
planificar y Administrado disponibilidad y sobre las expectativas de retorno de la inversión.
organizar fuentes de fondos.

152
Gestión Alinear, APO05 Portafolio APO05.02 Evaluar y seleccionar 1. Identificar y clasificar las oportunidades de inversión de
planificar y Administrado programas para acuerdo con las categorías de la cartera de inversiones.
organizar financiar. Especifique los resultados esperados de la empresa, las
iniciativas requeridas para lograr los resultados esperados, los
costos de alto nivel, las dependencias y el riesgo. Especificar
metodología para medir resultados, costos y riesgos.
Gestión Alinear, APO05 Portafolio APO05.02 Evaluar y seleccionar 2. Realizar una evaluación detallada de todos los casos
planificar y Administrado programas para comerciales del programa. Evalúe la alineación estratégica, el
organizar financiar. beneficio empresarial, el riesgo y la disponibilidad de recursos.

Gestión Alinear, APO05 Portafolio APO05.02 Evaluar y seleccionar 3. Evaluar el impacto de agregar programas potenciales en la
planificar y Administrado programas para cartera de inversiones general, incluidos los cambios que
organizar financiar. podrían ser necesarios para otros programas.

Gestión Alinear, APO05 Portafolio APO05.02 Evaluar y seleccionar 4. Decidir qué programas candidatos deben trasladarse a la
planificar y Administrado programas para cartera de inversión activa. Decidir si los programas
organizar financiar. rechazados deben retenerse para su consideración futura o
deben proporcionarse fondos iniciales para determinar si el
caso de negocios puede mejorarse o descartarse.

Gestión Alinear, APO05 Portafolio APO05.02 Evaluar y seleccionar 5. Determinar los hitos necesarios para el ciclo de vida
planificar y Administrado programas para económico completo de cada programa seleccionado. Asignar
organizar financiar. y reservar el financiamiento total del programa por hito.
Mover el programa a la cartera de inversiones activa.

Gestión Alinear, APO05 Portafolio APO05.02 Evaluar y seleccionar 6. Establecer procedimientos para comunicar los aspectos
planificar y Administrado programas para relacionados con el costo, el beneficio y el riesgo de las
organizar financiar. carteras para su consideración en los procesos de priorización
presupuestaria, administración de costos y administración de
beneficios.

153
Gestión Alinear, APO05 Portafolio APO05.03 Supervise, optimice e 1. Revisar la cartera regularmente para identificar y explotar
planificar y Administrado informe sobre el sinergias, eliminar la duplicación entre programas e identificar
organizar rendimiento de la y mitigar el riesgo.
cartera de
inversiones.

Gestión Alinear, APO05 Portafolio APO05.03 Supervise, optimice e 2. Cuando ocurran cambios, reevalúe y vuelva a priorizar la
planificar y Administrado informe sobre el cartera para garantizar la alineación con la estrategia
organizar rendimiento de la comercial y de I&T. Mantener la combinación objetivo de
cartera de inversiones para que la cartera optimice el valor general. Los
inversiones. programas se pueden cambiar, diferir o retirar, y se pueden
iniciar nuevos programas para reequilibrar y optimizar la
cartera.
Gestión Alinear, APO05 Portafolio APO05.03 Supervise, optimice e 3. Ajustar los objetivos empresariales, las previsiones, los
planificar y Administrado informe sobre el presupuestos y, si es necesario, el grado de seguimiento para
organizar rendimiento de la reflejar los gastos y los beneficios empresariales atribuibles a
cartera de los programas de la cartera de inversiones activa. Recargar los
inversiones. gastos del programa. Establezca procesos de presupuestación
flexibles para que los proyectos prometedores obtengan
recursos para escalar rápidamente.
Gestión Alinear, APO05 Portafolio APO05.03 Supervise, optimice e 4. Desarrollar métricas para medir la contribución de I&T a la
planificar y Administrado informe sobre el empresa. Establecer objetivos de desempeño apropiados que
organizar rendimiento de la reflejen los objetivos de capacidad empresarial y de I&T
cartera de requeridos. Use la guía de expertos externos y datos de
inversiones. referencia para desarrollar métricas.

Gestión Alinear, APO05 Portafolio APO05.03 Supervise, optimice e 5. Brindar una visión precisa del desempeño de la cartera de
planificar y Administrado informe sobre el inversiones a todas las partes interesadas.
organizar rendimiento de la
cartera de
inversiones.

Gestión Alinear, APO05 Portafolio APO05.03 Supervise, optimice e 6. Proporcionar informes para la revisión por parte de la alta
planificar y Administrado informe sobre el gerencia del progreso de la empresa hacia las metas
organizar rendimiento de la identificadas, indicando lo que aún debe gastarse y lograrse
cartera de en plazos determinados.
inversiones.

154
Gestión Alinear, APO05 Portafolio APO05.03 Supervise, optimice e 7. En el monitoreo regular del desempeño, incluya
planificar y Administrado informe sobre el información sobre la medida en que se lograron los objetivos
organizar rendimiento de la planificados, se mitigaron los riesgos, se crearon capacidades,
cartera de se obtuvieron los entregables y se cumplieron los objetivos de
inversiones. desempeño.

Gestión Alinear, APO05 Portafolio APO05.03 Supervise, optimice e 8. Identifique las desviaciones del presupuesto frente al gasto
planificar y Administrado informe sobre el real y el ROI esperado de las inversiones.
organizar rendimiento de la
cartera de
inversiones.

Gestión Alinear, APO05 Portafolio APO05.04 Mantener carteras. 1. Crear y mantener carteras de programas de inversión
planificar y Administrado habilitados para I&T, servicios de I&T y activos de I&T, que
organizar constituyen la base del presupuesto actual de I&T y respaldan
los planes tácticos y estratégicos de I&T.

Gestión Alinear, APO05 Portafolio APO05.04 Mantener carteras. 2. Trabajar con los gerentes de prestación de servicios para
planificar y Administrado mantener las carteras de servicios. Trabaje con gerentes de
organizar operaciones, gerentes de productos y arquitectos para
mantener las carteras de activos. Priorice las carteras para
respaldar las decisiones de inversión.

Gestión Alinear, APO05 Portafolio APO05.04 Mantener carteras. 3. Eliminar un programa de la cartera de inversiones activa
planificar y Administrado cuando se hayan logrado los beneficios empresariales
organizar deseados o cuando esté claro que los beneficios no se
lograrán dentro de los criterios de valor establecidos para el
programa.

Gestión Alinear, APO05 Portafolio APO05.05 Gestionar la 1. Utilice las métricas acordadas y haga un seguimiento de
planificar y Administrado consecución de cómo se logran los beneficios, cómo evolucionan a lo largo del
organizar beneficios. ciclo de vida de los programas y proyectos, cómo se entregan
desde los productos y servicios de I&T y cómo se comparan
con los puntos de referencia internos y de la industria.
Comunicar los resultados a las partes interesadas.

155
Gestión Alinear, APO05 Portafolio APO05.05 Gestionar la 2. Implementar acciones correctivas cuando los beneficios
planificar y Administrado consecución de obtenidos se desvíen significativamente de los beneficios
organizar beneficios. esperados. Actualizar el caso de negocios para nuevas
iniciativas e implementar procesos comerciales y mejoras de
servicios según sea necesario.

Gestión Alinear, APO05 Portafolio APO05.05 Gestionar la 3. Considere obtener orientación de expertos externos, líderes
planificar y Administrado consecución de de la industria y datos comparativos de evaluación
organizar beneficios. comparativa para probar y mejorar las métricas y los
objetivos.

Gestión Alinear, APO06 Presupuesto y APO06.01 Administrar las 1. Definir procesos, entradas, salidas y responsabilidades para
planificar y costos finanzas y la la gestión financiera y la contabilidad de I&T en consonancia
organizar administrados contabilidad. con las políticas y el enfoque de presupuestación y
contabilidad de costos de la empresa. Definir cómo analizar e
informar (a quién y cómo) sobre el proceso de control
presupuestario de I&T.
Gestión Alinear, APO06 Presupuesto y APO06.01 Administrar las 2. Definir un esquema de clasificación para identificar todos
planificar y costos finanzas y la los elementos de costos relacionados con I&T (gastos de
organizar administrados contabilidad. capital [capex] frente a gastos operativos [opex], hardware,
software, personal, etc.). Identificar cómo se capturan.

Gestión Alinear, APO06 Presupuesto y APO06.01 Administrar las 3. Usar la información financiera para brindar información a
planificar y costos finanzas y la los casos comerciales para nuevas inversiones en activos y
organizar administrados contabilidad. servicios de I&T.

Gestión Alinear, APO06 Presupuesto y APO06.01 Administrar las 4. Garantizar que los costos se mantengan en las carteras de
planificar y costos finanzas y la activos y servicios de I&T.
organizar administrados contabilidad.

156
Gestión Alinear, APO06 Presupuesto y APO06.01 Administrar las 5. Establecer y mantener prácticas para la planificación
planificar y costos finanzas y la financiera y la optimización de los costos operativos
organizar administrados contabilidad. recurrentes para brindar el máximo valor a la empresa por el
menor gasto.

Gestión Alinear, APO06 Presupuesto y APO06.02 Priorizar la asignación 1. Clasificar todas las iniciativas de I&T y las solicitudes de
planificar y costos de recursos. presupuesto en función de los casos comerciales y las
organizar administrados prioridades estratégicas y tácticas. Establecer procedimientos
para determinar asignaciones y cortes presupuestarios.

Gestión Alinear, APO06 Presupuesto y APO06.02 Priorizar la asignación 2. Asignar recursos comerciales y de TI (incluidos los
planificar y costos de recursos. proveedores de servicios externos) dentro de las asignaciones
organizar administrados presupuestarias de alto nivel para programas, servicios y
activos habilitados para I&T. Considere las opciones para
comprar o desarrollar activos y servicios capitalizados frente a
activos y servicios utilizados externamente sobre la base de
pago por uso.
Gestión Alinear, APO06 Presupuesto y APO06.02 Priorizar la asignación 3. Establecer un procedimiento para comunicar las decisiones
planificar y costos de recursos. presupuestarias y revisarlas con los responsables del
organizar administrados presupuesto de la unidad de negocio.

Gestión Alinear, APO06 Presupuesto y APO06.02 Priorizar la asignación 4. Identificar, comunicar y resolver los impactos significativos
planificar y costos de recursos. de las decisiones presupuestarias en los casos de negocio,
organizar administrados carteras y planes estratégicos. Por ejemplo, esto puede incluir
cuando los presupuestos requieren revisión debido a
circunstancias cambiantes de la empresa o cuando no son
suficientes para respaldar los objetivos estratégicos o los
objetivos del caso comercial).
Gestión Alinear, APO06 Presupuesto y APO06.02 Priorizar la asignación 5. Obtener la ratificación del comité ejecutivo de las
planificar y costos de recursos. implicaciones presupuestarias de I&T que impacten
organizar administrados negativamente en los planes estratégicos o tácticos de la
entidad. Sugerir acciones para resolver estos impactos.

157
Gestión Alinear, APO06 Presupuesto y APO06.03 Crear y mantener 1. Implementar un presupuesto formal de I&T, incluidos todos
planificar y costos presupuestos. los costos esperados de I&T de los programas, servicios y
organizar administrados activos habilitados por I&T.

Gestión Alinear, APO06 Presupuesto y APO06.03 Crear y mantener 2. Al crear el presupuesto, considere los siguientes
planificar y costos presupuestos. componentes: alineación con el negocio; alineación con la
organizar administrados estrategia de abastecimiento; fuentes de financiación
autorizadas; costos de recursos internos, incluidos personal,
activos de información y alojamiento; costos de terceros,
incluidos contratos de subcontratación, consultores y
proveedores de servicios; gastos de capital y operativos; y
Gestión Alinear, APO06 Presupuesto y APO06.03 Crear y mantener 3. Documentar las razones para justificar las contingencias y
planificar y costos presupuestos. revisarlas periódicamente.
organizar administrados

Gestión Alinear, APO06 Presupuesto y APO06.03 Crear y mantener 4. Instruir a los propietarios de procesos, servicios y
planificar y costos presupuestos. programas, así como a los gerentes de proyectos y activos,
organizar administrados para que planifiquen los presupuestos.

Gestión Alinear, APO06 Presupuesto y APO06.03 Crear y mantener 5. Revisar los planes presupuestarios y tomar decisiones sobre
planificar y costos presupuestos. las asignaciones presupuestarias. Compile y ajuste el
organizar administrados presupuesto según las necesidades cambiantes de la empresa
y las consideraciones financieras.

Gestión Alinear, APO06 Presupuesto y APO06.03 Crear y mantener 6. Registrar, mantener y comunicar el presupuesto actual de
planificar y costos presupuestos. I&T, incluidos los gastos comprometidos y los gastos
organizar administrados corrientes, considerando los proyectos de I&T registrados en
los portafolios de inversión habilitados para I&T y la operación
y mantenimiento de los portafolios de activos y servicios.

158
Gestión Alinear, APO06 Presupuesto y APO06.03 Crear y mantener 7. Supervisar la eficacia de los diferentes aspectos del
planificar y costos presupuestos. presupuesto.
organizar administrados

Gestión Alinear, APO06 Presupuesto y APO06.03 Crear y mantener 8. Utilizar los resultados del monitoreo para implementar
planificar y costos presupuestos. mejoras y garantizar que los presupuestos futuros sean más
organizar administrados precisos, confiables y rentables.

Gestión Alinear, APO06 Presupuesto y APO06.04 Modele y asigne 1. Decidir sobre un modelo de asignación de costos que
planificar y costos costos. permita una asignación justa, transparente, repetible y
organizar administrados comparable de los costos relacionados con I&T a los usuarios.
Un ejemplo de modelo de asignación básico es la distribución
uniforme de los costos relacionados con I&T compartidos.
Este es un modelo de asignación muy simple que es fácil de
aplicar; sin embargo, según el contexto de la empresa, a
Gestión Alinear, APO06 Presupuesto y APO06.04 Modele y asigne 2. Inspeccionar los catálogos de definición de servicios para
planificar y costos costos. identificar los servicios sujetos a contracargo del usuario y
organizar administrados aquellos que son servicios compartidos.

Gestión Alinear, APO06 Presupuesto y APO06.04 Modele y asigne 3. Diseñe el modelo de costos para que sea lo suficientemente
planificar y costos costos. transparente como para permitir a los usuarios identificar su
organizar administrados uso y cargos reales mediante el uso de categorías y factores
de costo que tengan sentido para el usuario (por ejemplo,
costo por llamada a la mesa de ayuda, costo por licencia de
software) y para habilitar mejor previsibilidad de los costos de
I&T y utilización eficiente y eficaz de los recursos de I&T.
Gestión Alinear, APO06 Presupuesto y APO06.04 Modele y asigne 4. Explicar los principios y resultados del modelo de costos a
planificar y costos costos. las partes interesadas clave. Obtenga sus comentarios para
organizar administrados seguir afinando hacia un modelo transparente e integral.

159
Gestión Alinear, APO06 Presupuesto y APO06.04 Modele y asigne 5. Obtener la aprobación de las partes interesadas clave y
planificar y costos costos. comunicar el modelo de cálculo de costos de I&T a la gerencia
organizar administrados de los departamentos usuarios.

Gestión Alinear, APO06 Presupuesto y APO06.04 Modele y asigne 6. Comunicar los cambios importantes en los principios del
planificar y costos costos. modelo de costo/recargo a las partes interesadas clave y la
organizar administrados administración de los departamentos de usuarios.

Gestión Alinear, APO06 Presupuesto y APO06.05 Administrar costos. 1. Obtener la aprobación de las partes interesadas clave y
planificar y costos comunicar el modelo de cálculo de costos de I&T a la gerencia
organizar administrados de los departamentos usuarios.

Gestión Alinear, APO06 Presupuesto y APO06.05 Administrar costos. 2. Establecer escalas de tiempo para la operación del proceso
planificar y costos de administración de costos de acuerdo con los requisitos y el
organizar administrados cronograma de presupuesto y contabilidad.

Gestión Alinear, APO06 Presupuesto y APO06.05 Administrar costos. 3. Definir un método para la recopilación de datos relevantes
planificar y costos para identificar desviaciones en el presupuesto frente a los
organizar administrados datos reales, ROI de inversión, tendencias de costos de
servicios, etc.

Gestión Alinear, APO06 Presupuesto y APO06.05 Administrar costos. 4. Definir cómo se consolidan los costos para los niveles
planificar y costos apropiados en la empresa (TI central versus presupuesto de TI
organizar administrados dentro de los departamentos comerciales) y cómo se
presentarán a las partes interesadas. Los informes brindan
información sobre los costos por categoría de costos, el
presupuesto frente al estado real, los gastos principales, etc.,
para permitir la identificación oportuna de las acciones

160
Gestión Alinear, APO06 Presupuesto y APO06.05 Administrar costos. 5. Instruir a los responsables de la gestión de costos para que
planificar y costos capturen, recopilen y consoliden los datos, y presenten e
organizar administrados informen los datos a los responsables del presupuesto
apropiados. Los analistas de presupuesto y los propietarios
analizan conjuntamente las desviaciones y comparan el
rendimiento con los puntos de referencia internos y de la
industria. Deben establecer y mantener el método de
Gestión Alinear, APO06 Presupuesto y APO06.05 Administrar costos. 6. Garantizar que los niveles apropiados de gestión revisen los
planificar y costos resultados del análisis y aprueben las acciones correctivas
organizar administrados sugeridas.

Gestión Alinear, APO06 Presupuesto y APO06.05 Administrar costos. 7. Garantizar que se identifiquen los cambios en las
planificar y costos estructuras de costos y las necesidades de la empresa y que se
organizar administrados revisen los presupuestos y las previsiones según sea
necesario.

Gestión Alinear, APO06 Presupuesto y APO06.05 Administrar costos. 8. A intervalos regulares, y especialmente cuando se recortan
planificar y costos los presupuestos debido a restricciones financieras,
organizar administrados identifique formas de optimizar costos e introducir eficiencias
sin poner en peligro los servicios.

Gestión Alinear, APO07 Recursos APO07.01 Adquirir y mantener 1. Evaluar los requisitos de personal de manera regular o ante
planificar y Humanos el personal adecuado cambios importantes. Asegúrese de que tanto la empresa
organizar Administrados y apropiado. como la función de TI tengan suficientes recursos para
respaldar las metas y objetivos de la empresa, los procesos y
controles comerciales y las iniciativas habilitadas para I&T de
manera adecuada y apropiada.
Gestión Alinear, APO07 Recursos APO07.01 Adquirir y mantener 2. Mantener los procesos de contratación y retención del
planificar y Humanos el personal adecuado personal comercial y de TI en línea con las políticas y los
organizar Administrados y apropiado. procedimientos generales de personal de la empresa.

161
Gestión Alinear, APO07 Recursos APO07.01 Adquirir y mantener 3. Establecer arreglos de recursos flexibles, como el uso de
planificar y Humanos el personal adecuado transferencias, contratistas externos y arreglos de servicios de
organizar Administrados y apropiado. terceros, para respaldar las necesidades comerciales
cambiantes.

Gestión Alinear, APO07 Recursos APO07.01 Adquirir y mantener 4. Incluya verificaciones de antecedentes en el proceso de
planificar y Humanos el personal adecuado contratación de TI para empleados, contratistas y
organizar Administrados y apropiado. proveedores. El alcance y la frecuencia de estas
comprobaciones deberían depender de la sensibilidad y/o
criticidad de la función.

Gestión Alinear, APO07 Recursos APO07.02 Identificar al personal 1. Como medida de seguridad, proporcione pautas sobre el
planificar y Humanos clave de TI. tiempo mínimo de vacaciones anuales que deben tomar las
organizar Administrados personas clave.

Gestión Alinear, APO07 Recursos APO07.02 Identificar al personal 2. Tomar las medidas apropiadas con respecto a los cambios
planificar y Humanos clave de TI. de trabajo, especialmente los despidos.
organizar Administrados

Gestión Alinear, APO07 Recursos APO07.02 Identificar al personal 3. Utilice la captura de conocimientos (documentación), el
planificar y Humanos clave de TI. intercambio de conocimientos, la planificación de la sucesión,
organizar Administrados el respaldo del personal, la capacitación cruzada y las
iniciativas de rotación de puestos para minimizar la
dependencia de una sola persona que realiza una función de
trabajo crítica.
Gestión Alinear, APO07 Recursos APO07.02 Identificar al personal 4. Pruebe regularmente los planes de respaldo del personal.
planificar y Humanos clave de TI.
organizar Administrados

162
Gestión Alinear, APO07 Recursos APO07.03 Mantener las 1. Identificar las habilidades y competencias actualmente
planificar y Humanos habilidades y disponibles de los recursos internos y externos.
organizar Administrados competencias del
personal.

Gestión Alinear, APO07 Recursos APO07.03 Mantener las 2. Identificar las brechas entre las habilidades requeridas y las
planificar y Humanos habilidades y disponibles. Desarrolle planes de acción, como capacitación
organizar Administrados competencias del (habilidades técnicas y conductuales), contratación,
personal. redistribución y cambio de estrategias de abastecimiento,
para abordar las brechas a nivel individual y colectivo.

Gestión Alinear, APO07 Recursos APO07.03 Mantener las 3. Revisar los materiales y programas de capacitación
planificar y Humanos habilidades y periódicamente. Garantizar la adecuación con respecto a los
organizar Administrados competencias del cambiantes requisitos de la empresa y su impacto en los
personal. conocimientos, habilidades y capacidades necesarios.

Gestión Alinear, APO07 Recursos APO07.03 Mantener las 4. Proporcionar acceso a repositorios de conocimiento para
planificar y Humanos habilidades y apoyar el desarrollo de habilidades y competencias.
organizar Administrados competencias del
personal.

Gestión Alinear, APO07 Recursos APO07.03 Mantener las 5. Desarrollar e impartir programas de capacitación basados
planificar y Humanos habilidades y en los requisitos organizacionales y de procesos, incluidos los
organizar Administrados competencias del requisitos de conocimiento empresarial, control interno,
personal. conducta ética, seguridad y privacidad.

Gestión Alinear, APO07 Recursos APO07.03 Mantener las 6. Realizar revisiones periódicas para evaluar la evolución de
planificar y Humanos habilidades y las habilidades y competencias de los recursos internos y
organizar Administrados competencias del externos. Revisar la planificación de la sucesión.
personal.

163
Gestión Alinear, APO07 Recursos APO07.04 Evaluar y 1. Considere las metas funcionales/empresariales como el
planificar y Humanos reconocer/premiar el contexto para establecer metas individuales.
organizar Administrados desempeño laboral de
los empleados.

Gestión Alinear, APO07 Recursos APO07.04 Evaluar y 2. Establezca objetivos individuales alineados con los objetivos
planificar y Humanos reconocer/premiar el empresariales y de I&T relevantes. Base las metas en objetivos
organizar Administrados desempeño laboral de específicos, medibles, alcanzables, relevantes y con plazos
los empleados. (SMART) que reflejen las competencias básicas, los valores
empresariales y las habilidades requeridas para la(s)
función(es).
Gestión Alinear, APO07 Recursos APO07.04 Evaluar y 3. Brindar retroalimentación oportuna sobre el desempeño en
planificar y Humanos reconocer/premiar el relación con las metas del individuo.
organizar Administrados desempeño laboral de
los empleados.

Gestión Alinear, APO07 Recursos APO07.04 Evaluar y 4. Proporcionar instrucciones específicas para el uso y
planificar y Humanos reconocer/premiar el almacenamiento de la información personal en el proceso de
organizar Administrados desempeño laboral de evaluación, de conformidad con la legislación laboral y de
los empleados. datos personales aplicable.

Gestión Alinear, APO07 Recursos APO07.04 Evaluar y 5. Compilar resultados de evaluación de desempeño de 360
planificar y Humanos reconocer/premiar el grados.
organizar Administrados desempeño laboral de
los empleados.

Gestión Alinear, APO07 Recursos APO07.04 Evaluar y 6. Proporcionar planificación de carrera formal y planes de
planificar y Humanos reconocer/premiar el desarrollo profesional basados en los resultados del proceso
organizar Administrados desempeño laboral de de evaluación para fomentar el desarrollo de competencias y
los empleados. oportunidades para el avance personal y para reducir la
dependencia de personas clave. Proporcione entrenamiento a
los empleados sobre el desempeño y la conducta cuando sea
apropiado.

164
Gestión Alinear, APO07 Recursos APO07.04 Evaluar y 7. Implementar un proceso de remuneración/reconocimiento
planificar y Humanos reconocer/premiar el que premie el compromiso apropiado, el desarrollo de
organizar Administrados desempeño laboral de competencias y el logro exitoso de las metas de desempeño.
los empleados. Asegúrese de que el proceso se aplique de manera
consistente y en línea con las políticas de la organización.

Gestión Alinear, APO07 Recursos APO07.04 Evaluar y 8. Implementar y comunicar un proceso disciplinario.
planificar y Humanos reconocer/premiar el
organizar Administrados desempeño laboral de
los empleados.

Gestión Alinear, APO07 Recursos APO07.05 Planifique y realice un 1. Crear y mantener un inventario de recursos humanos de
planificar y Humanos seguimiento del uso negocios y TI.
organizar Administrados de TI y de los recursos
humanos
empresariales.

Gestión Alinear, APO07 Recursos APO07.05 Planifique y realice un 2. Comprender la demanda actual y futura de recursos
planificar y Humanos seguimiento del uso humanos para respaldar el logro de los objetivos de I&T y
organizar Administrados de TI y de los recursos brindar servicios y soluciones basados en la cartera de
humanos iniciativas actuales relacionadas con I&T, la cartera de
empresariales. inversiones futuras y las necesidades operativas diarias.

Gestión Alinear, APO07 Recursos APO07.05 Planifique y realice un 3. Identifique las deficiencias y proporcione información sobre
planificar y Humanos seguimiento del uso los planes de abastecimiento, así como sobre los procesos de
organizar Administrados de TI y de los recursos contratación empresarial y de TI. Cree y revise el plan de
humanos dotación de personal, realizando un seguimiento del uso real.
empresariales.

Gestión Alinear, APO07 Recursos APO07.05 Planifique y realice un 4. Mantener información adecuada sobre el tiempo dedicado
planificar y Humanos seguimiento del uso a las distintas tareas, encargos, servicios o proyectos.
organizar Administrados de TI y de los recursos
humanos
empresariales.

165
Gestión Alinear, APO07 Recursos APO07.06 Administrar personal 1. Implementar políticas y procedimientos de personal
planificar y Humanos contratado. contratado.
organizar Administrados

Gestión Alinear, APO07 Recursos APO07.06 Administrar personal 2. Al comienzo del contrato, obtenga un acuerdo formal de los
planificar y Humanos contratado. contratistas de que deben cumplir con el marco de control de
organizar Administrados I&T de la empresa, como las políticas de autorización de
seguridad, control de acceso físico y lógico, uso de
instalaciones, requisitos de confidencialidad de la información
y no divulgación. acuerdos.
Gestión Alinear, APO07 Recursos APO07.06 Administrar personal 3. Informar a los contratistas que la gerencia se reserva el
planificar y Humanos contratado. derecho de monitorear e inspeccionar todo el uso de los
organizar Administrados recursos de TI, incluido el correo electrónico, las
comunicaciones de voz y todos los programas y archivos de
datos.

Gestión Alinear, APO07 Recursos APO07.06 Administrar personal 4. Como parte de sus contratos, proporcione a los contratistas
planificar y Humanos contratado. una definición clara de sus roles y responsabilidades, incluidos
organizar Administrados los requisitos explícitos para documentar su trabajo según los
estándares y formatos acordados.

Gestión Alinear, APO07 Recursos APO07.06 Administrar personal 5. Revisar el trabajo de los contratistas y basar la aprobación
planificar y Humanos contratado. de los pagos en los resultados.
organizar Administrados

Gestión Alinear, APO07 Recursos APO07.06 Administrar personal 6. En contratos formales e inequívocos, definir todo el trabajo
planificar y Humanos contratado. realizado por partes externas.
organizar Administrados

166
Gestión Alinear, APO07 Recursos APO07.06 Administrar personal 7. Llevar a cabo revisiones periódicas para garantizar que el
planificar y Humanos contratado. personal contratado haya firmado y aceptado todos los
organizar Administrados acuerdos necesarios.

Gestión Alinear, APO07 Recursos APO07.06 Administrar personal 8. Llevar a cabo revisiones periódicas para garantizar que las
planificar y Humanos contratado. funciones y los derechos de acceso de los contratistas sean
organizar Administrados apropiados y estén en línea con los acuerdos.

Gestión Alinear, APO08 Relaciones APO08.01 Comprender las 1. Identificar los stakeholders del negocio, sus intereses y sus
planificar y administradas expectativas áreas de responsabilidad.
organizar comerciales.

Gestión Alinear, APO08 Relaciones APO08.01 Comprender las 2. Revisar la dirección actual de la empresa, los problemas, los
planificar y administradas expectativas objetivos estratégicos y la alineación con la arquitectura
organizar comerciales. empresarial.

Gestión Alinear, APO08 Relaciones APO08.01 Comprender las 3. Comprender el entorno empresarial actual, las limitaciones
planificar y administradas expectativas o problemas de los procesos, la expansión o contracción
organizar comerciales. geográfica y los impulsores regulatorios/de la industria.

Gestión Alinear, APO08 Relaciones APO08.01 Comprender las 4. Mantener un conocimiento de los procesos comerciales y
planificar y administradas expectativas actividades asociadas. Comprender los patrones de demanda
organizar comerciales. que se relacionan con los volúmenes y el uso del servicio.

167
Gestión Alinear, APO08 Relaciones APO08.01 Comprender las 5. Gestionar las expectativas asegurándose de que las
planificar y administradas expectativas unidades de negocio entiendan las prioridades, las
organizar comerciales. dependencias, las restricciones financieras y la necesidad de
programar las solicitudes.

Gestión Alinear, APO08 Relaciones APO08.01 Comprender las 6. Aclarar las expectativas comerciales para los servicios y
planificar y administradas expectativas soluciones habilitados para I&T. Asegúrese de que los
organizar comerciales. requisitos estén definidos con los criterios y métricas de
aceptación empresarial asociados.

Gestión Alinear, APO08 Relaciones APO08.01 Comprender las 7. Confirme que existe un acuerdo entre TI y todos los
planificar y administradas expectativas departamentos comerciales sobre las expectativas y cómo se
organizar comerciales. medirán. Asegúrese de que este acuerdo sea confirmado por
todas las partes interesadas.

Gestión Alinear, APO08 Relaciones APO08.02 Alinee la estrategia de 1. Posicionar TI como socio del negocio. Desempeñe un papel
planificar y administradas I&T con las proactivo en la identificación y comunicación con las partes
organizar expectativas interesadas clave sobre oportunidades, riesgos y limitaciones.
comerciales e Esto incluye tecnologías, servicios y modelos de procesos
identifique comerciales actuales y emergentes.
oportunidades para
que TI mejore el
Gestión Alinear, APO08 Relaciones APO08.02 Alinee la estrategia de 2. Colaborar en nuevas iniciativas importantes con la gestión
planificar y administradas I&T con las de carteras, programas y proyectos. Garantice la participación
organizar expectativas de la organización de TI desde el comienzo de una nueva
comerciales e iniciativa brindando asesoramiento y recomendaciones de
identifique valor agregado (p. ej., para el desarrollo de casos comerciales,
oportunidades para definición de requisitos, diseño de soluciones) y asumiendo la
que TI mejore el propiedad de los flujos de trabajo de I&T.
Gestión Alinear, APO08 Relaciones APO08.03 Gestionar la relación 1. Asigne un gerente de relaciones como único punto de
planificar y administradas comercial. contacto para cada unidad de negocios significativa.
organizar Asegúrese de que se identifique una única contraparte en la
organización comercial y que la contraparte tenga
conocimientos comerciales, suficiente conocimiento
tecnológico y el nivel de autoridad adecuado.

168
Gestión Alinear, APO08 Relaciones APO08.03 Gestionar la relación 2. Administrar la relación de una manera formal y
planificar y administradas comercial. transparente que asegure un enfoque en el logro de un
organizar objetivo común y compartido de resultados empresariales
exitosos en apoyo de los objetivos estratégicos y dentro de las
limitaciones de los presupuestos y la tolerancia al riesgo.

Gestión Alinear, APO08 Relaciones APO08.03 Gestionar la relación 3. Definir y comunicar un procedimiento de quejas y
planificar y administradas comercial. escalamiento para resolver cualquier problema de relación.
organizar

Gestión Alinear, APO08 Relaciones APO08.03 Gestionar la relación 4. Asegurarse de que las partes interesadas responsables
planificar y administradas comercial. relevantes acuerden y aprueben las decisiones clave.
organizar

Gestión Alinear, APO08 Relaciones APO08.03 Gestionar la relación 5. Planificar interacciones y horarios específicos basados en
planificar y administradas comercial. objetivos mutuamente acordados y lenguaje común
organizar (reuniones de revisión de servicio y desempeño, revisión de
nuevas estrategias o planes, etc.).

Gestión Alinear, APO08 Relaciones APO08.04 Coordinar y 1. Coordinar y comunicar los cambios y las actividades de
planificar y administradas comunicar. transición, como los planes de proyectos o cambios, los
organizar cronogramas, las políticas de publicación, los errores
conocidos de publicación y la capacitación.

Gestión Alinear, APO08 Relaciones APO08.04 Coordinar y 2. Coordinar y comunicar actividades, funciones y
planificar y administradas comunicar. responsabilidades operativas, incluida la definición de tipos de
organizar solicitudes, escalamiento jerárquico, interrupciones
importantes (planificadas y no planificadas) y el contenido y la
frecuencia de los informes de servicio.

169
Gestión Alinear, APO08 Relaciones APO08.04 Coordinar y 3. Apropiarse de la respuesta al negocio ante eventos
planificar y administradas comunicar. importantes que puedan influir en la relación con el negocio.
organizar Proporcionar apoyo directo si es necesario.

Gestión Alinear, APO08 Relaciones APO08.04 Coordinar y 4. Mantener un plan de comunicación de extremo a extremo
planificar y administradas comunicar. que defina el contenido, la frecuencia y los destinatarios de la
organizar información de entrega de servicios, incluido el estado del
valor entregado y cualquier riesgo identificado.

Gestión Alinear, APO08 Relaciones APO08.05 Proporcionar 1. Realizar análisis de satisfacción de clientes y proveedores.
planificar y administradas información para la Asegurarse de que se aborden los problemas; informe de
organizar mejora continua de resultados y estado.
los servicios.

Gestión Alinear, APO08 Relaciones APO08.05 Proporcionar 2. Trabajar juntos para identificar, comunicar e implementar
planificar y administradas información para la iniciativas de mejora.
organizar mejora continua de
los servicios.

Gestión Alinear, APO08 Relaciones APO08.05 Proporcionar 3. Trabajar con la gestión de servicios y los propietarios de
planificar y administradas información para la procesos para garantizar que los servicios habilitados para I&T
organizar mejora continua de y los procesos de gestión de servicios se mejoren
los servicios. continuamente y que se identifiquen y resuelvan las causas
fundamentales de cualquier problema.

Gestión Alinear, APO09 Acuerdos de APO09.01 Identificar los 1. Evaluar los servicios de I&T actuales y los niveles de servicio
planificar y servicios servicios de I&T. para identificar brechas entre los servicios existentes y las
organizar gestionados actividades comerciales que respaldan. Identificar las áreas de
mejora de los servicios existentes y las opciones de nivel de
servicio.

170
Gestión Alinear, APO09 Acuerdos de APO09.01 Identificar los 2. Analizar, estudiar y estimar la demanda futura y confirmar
planificar y servicios servicios de I&T. la capacidad de los servicios habilitados para I&T existentes.
organizar gestionados

Gestión Alinear, APO09 Acuerdos de APO09.01 Identificar los 3. Analizar las actividades de los procesos comerciales para
planificar y servicios servicios de I&T. identificar la necesidad de servicios de I&T nuevos o
organizar gestionados rediseñados.

Gestión Alinear, APO09 Acuerdos de APO09.01 Identificar los 4. Comparar los requisitos identificados con los componentes
planificar y servicios servicios de I&T. de servicio existentes en la cartera. Si es posible, empaquete
organizar gestionados los componentes de servicio existentes (servicios de I&T,
opciones de nivel de servicio y paquetes de servicio) en
nuevos paquetes de servicio para cumplir con los requisitos
comerciales identificados.
Gestión Alinear, APO09 Acuerdos de APO09.01 Identificar los 5. Revisar periódicamente la cartera de servicios de I&T con
planificar y servicios servicios de I&T. gestión de cartera y gestión de relaciones comerciales para
organizar gestionados identificar servicios obsoletos. Acordar la jubilación y
proponer el cambio.

Gestión Alinear, APO09 Acuerdos de APO09.01 Identificar los 6. Siempre que sea posible, haga coincidir las demandas con
planificar y servicios servicios de I&T. los paquetes de servicios y cree servicios estandarizados para
organizar gestionados obtener eficiencias generales.

Gestión Alinear, APO09 Acuerdos de APO09.02 Catalogar servicios 1. Publicar en catálogos servicios habilitados para I&T en vivo
planificar y servicios habilitados para I&T. relevantes, paquetes de servicios y opciones de nivel de
organizar gestionados servicio de la cartera.

171
Gestión Alinear, APO09 Acuerdos de APO09.02 Catalogar servicios 2. Asegurarse continuamente de que los componentes de
planificar y servicios habilitados para I&T. servicio de la cartera y los catálogos de servicios relacionados
organizar gestionados estén completos y actualizados.

Gestión Alinear, APO09 Acuerdos de APO09.02 Catalogar servicios 3. Informar a la gerencia de relaciones comerciales sobre
planificar y servicios habilitados para I&T. cualquier actualización de los catálogos de servicios.
organizar gestionados

Gestión Alinear, APO09 Acuerdos de APO09.03 Definir y preparar 1. Analizar los requisitos para los acuerdos de servicio nuevos
planificar y servicios acuerdos de servicios. o modificados recibidos de la gestión de relaciones
organizar gestionados comerciales para garantizar que los requisitos puedan
coincidir. Considere aspectos como los tiempos de servicio, la
disponibilidad, el rendimiento, la capacidad, la seguridad, la
privacidad, la continuidad, el cumplimiento y los problemas
normativos, la usabilidad, las restricciones de demanda y la
Gestión Alinear, APO09 Acuerdos de APO09.03 Definir y preparar 2. Redactar acuerdos de servicio al cliente basados en los
planificar y servicios acuerdos de servicios. servicios, paquetes de servicios y opciones de nivel de servicio
organizar gestionados en los catálogos de servicios relevantes.

Gestión Alinear, APO09 Acuerdos de APO09.03 Definir y preparar 3. Finalizar acuerdos de servicio al cliente con la gestión de
planificar y servicios acuerdos de servicios. relaciones comerciales.
organizar gestionados

Gestión Alinear, APO09 Acuerdos de APO09.03 Definir y preparar 4. Determinar, consensuar y documentar acuerdos operativos
planificar y servicios acuerdos de servicios. internos para sustentar los acuerdos de servicio al cliente, en
organizar gestionados su caso.

172
Gestión Alinear, APO09 Acuerdos de APO09.03 Definir y preparar 5. Servir de enlace con la gerencia de proveedores para
planificar y servicios acuerdos de servicios. garantizar que los contratos comerciales apropiados con
organizar gestionados proveedores de servicios externos respalden los acuerdos de
servicio al cliente, si corresponde.

Gestión Alinear, APO09 Acuerdos de APO09.04 Supervisar e informar 1. Establecer y mantener medidas para monitorear y recopilar
planificar y servicios los niveles de servicio. datos de nivel de servicio.
organizar gestionados

Gestión Alinear, APO09 Acuerdos de APO09.04 Supervisar e informar 2. Evaluar el desempeño y proporcionar informes regulares y
planificar y servicios los niveles de servicio. formales sobre el desempeño del acuerdo de servicio,
organizar gestionados incluidas las desviaciones de los valores acordados. Distribuya
este informe a la gestión de relaciones comerciales.

Gestión Alinear, APO09 Acuerdos de APO09.04 Supervisar e informar 3. Realizar revisiones regulares para pronosticar e identificar
planificar y servicios los niveles de servicio. tendencias en el desempeño del nivel de servicio. Incorporar
organizar gestionados prácticas de gestión de la calidad en el seguimiento del
servicio.

Gestión Alinear, APO09 Acuerdos de APO09.04 Supervisar e informar 4. Proporcionar la información de gestión adecuada para
planificar y servicios los niveles de servicio. ayudar a la gestión del desempeño.
organizar gestionados

Gestión Alinear, APO09 Acuerdos de APO09.04 Supervisar e informar 5. Acordar planes de acción y remedios para cualquier
planificar y servicios los niveles de servicio. problema de desempeño o tendencias negativas.
organizar gestionados

173
Gestión Alinear, APO09 Acuerdos de APO09.05 Revisar acuerdos y 1. Revisar regularmente los acuerdos de servicios de acuerdo
planificar y servicios contratos de con los términos acordados para garantizar que estén vigentes
organizar gestionados servicios. y actualizados. Cuando corresponda, tenga en cuenta los
cambios en los requisitos, los servicios habilitados para I&T,
los paquetes de servicios o las opciones de nivel de servicio.

Gestión Alinear, APO09 Acuerdos de APO09.05 Revisar acuerdos y 2. Cuando sea necesario, revise el acuerdo de servicio
planificar y servicios contratos de existente con el proveedor de servicios. Acordar y actualizar
organizar gestionados servicios. los acuerdos operativos internos.

Gestión Alinear, APO10 Proveedores APO10.01 Identificar y evaluar 1. Explore continuamente el panorama empresarial en busca
planificar y administrados las relaciones y los de nuevos socios y proveedores que puedan proporcionar
organizar contratos con los capacidades complementarias y respaldar la realización de la
proveedores. estrategia, la hoja de ruta y los objetivos empresariales de
I&T.

Gestión Alinear, APO10 Proveedores APO10.01 Identificar y evaluar 2. Establecer y mantener criterios relacionados con el tipo, la
planificar y administrados las relaciones y los importancia y la criticidad de los proveedores y los contratos
organizar contratos con los de los proveedores, lo que permite centrarse en los
proveedores. proveedores preferidos e importantes.

Gestión Alinear, APO10 Proveedores APO10.01 Identificar y evaluar 3. Identificar, registrar y categorizar proveedores y contratos
planificar y administrados las relaciones y los existentes de acuerdo con criterios definidos para mantener
organizar contratos con los un registro detallado de proveedores preferidos que deben
proveedores. gestionarse con cuidado.

Gestión Alinear, APO10 Proveedores APO10.01 Identificar y evaluar 4. Establecer y mantener criterios de evaluación de
planificar y administrados las relaciones y los proveedores y contratos para permitir una revisión y
organizar contratos con los comparación general del desempeño de los proveedores de
proveedores. manera consistente.

174
Gestión Alinear, APO10 Proveedores APO10.01 Identificar y evaluar 5. Evaluar y comparar periódicamente el desempeño de
planificar y administrados las relaciones y los proveedores existentes y alternativos para identificar
organizar contratos con los oportunidades o una necesidad imperiosa de reconsiderar los
proveedores. contratos de proveedores actuales.

Gestión Alinear, APO10 Proveedores APO10.02 Seleccionar 1. Revisar todas las solicitudes de información (RFI) y
planificar y administrados proveedores. solicitudes de propuestas (RFP) para asegurarse de que
organizar definan claramente los requisitos (p. ej., requisitos de la
empresa para la seguridad y privacidad de la información,
requisitos de procesamiento de I&T y negocios operativos,
prioridades para la prestación de servicios) e incluyan un
procedimiento para aclarar los requisitos. Las RFI y RFP deben
Gestión Alinear, APO10 Proveedores APO10.02 Seleccionar 2. Evaluar las RFI y RFP de acuerdo con el proceso/criterio de
planificar y administrados proveedores. evaluación aprobado y mantener evidencia documental de las
organizar evaluaciones. Verificar las referencias de los proveedores
candidatos.

Gestión Alinear, APO10 Proveedores APO10.02 Seleccionar 3. Seleccione el proveedor que mejor se adapte a la RFP.
planificar y administrados proveedores. Documentar y comunicar la decisión, y firmar el contrato.
organizar

Gestión Alinear, APO10 Proveedores APO10.02 Seleccionar 4. En el caso específico de adquisición de software, incluir y
planificar y administrados proveedores. hacer cumplir los derechos y obligaciones de todas las partes
organizar en los términos contractuales. Estos derechos y obligaciones
pueden incluir la propiedad y la concesión de licencias de PI;
mantenimiento; garantías; procedimientos de arbitraje;
términos de actualización; y adecuado para su propósito,
incluida la seguridad, la privacidad, el depósito en garantía y
Gestión Alinear, APO10 Proveedores APO10.02 Seleccionar 5. En el caso específico de adquisición de recursos de
planificar y administrados proveedores. desarrollo, incluir y hacer cumplir los derechos y obligaciones
organizar de todas las partes en los términos contractuales. Estos
derechos y obligaciones pueden incluir la propiedad y la
concesión de licencias de PI; adecuado para el propósito,
incluidas las metodologías de desarrollo; pruebas; procesos de
gestión de la calidad, incluidos los criterios de desempeño

175
Gestión Alinear, APO10 Proveedores APO10.02 Seleccionar 6. Obtener asesoramiento legal sobre acuerdos de adquisición
planificar y administrados proveedores. de desarrollo de recursos con respecto a la propiedad y
organizar licencia de PI.

Gestión Alinear, APO10 Proveedores APO10.02 Seleccionar 7. En el caso específico de adquisición de infraestructura,
planificar y administrados proveedores. instalaciones y servicios relacionados, incluir y hacer cumplir
organizar los derechos y obligaciones de todas las partes en los términos
contractuales. Estos derechos y obligaciones pueden incluir
niveles de servicio, procedimientos de mantenimiento,
controles de acceso, seguridad, privacidad, revisión del
desempeño, base para pagos y procedimientos de arbitraje.
Gestión Alinear, APO10 Proveedores APO10.03 Gestionar las 1. Asignar propietarios de relaciones para todos los
planificar y administrados relaciones con los proveedores y hacerlos responsables de la calidad de los
organizar proveedores y los servicios prestados.
contratos.

Gestión Alinear, APO10 Proveedores APO10.03 Gestionar las 2. Especificar un proceso formal de comunicación y revisión,
planificar y administrados relaciones con los incluidas las interacciones y los horarios de los proveedores.
organizar proveedores y los
contratos.

Gestión Alinear, APO10 Proveedores APO10.03 Gestionar las 3. Convenir, administrar, mantener y renovar contratos
planificar y administrados relaciones con los formales con el proveedor. Asegúrese de que los contratos
organizar proveedores y los cumplan con los estándares empresariales y los requisitos
contratos. legales y reglamentarios.

Gestión Alinear, APO10 Proveedores APO10.03 Gestionar las 4. Incluir disposiciones en los contratos con proveedores de
planificar y administrados relaciones con los servicios clave para la revisión del sitio del proveedor y las
organizar proveedores y los prácticas y controles internos por parte de la gerencia o
contratos. terceros independientes. Acordar auditorías independientes y
controles de aseguramiento de los entornos operativos de los
proveedores que brindan servicios subcontratados para
confirmar que los requisitos acordados se están abordando

176
Gestión Alinear, APO10 Proveedores APO10.03 Gestionar las 5. Usar procedimientos establecidos para tratar disputas de
planificar y administrados relaciones con los contratos. Siempre que sea posible, utilice primero relaciones
organizar proveedores y los y comunicaciones efectivas para superar los problemas de
contratos. servicio.

Gestión Alinear, APO10 Proveedores APO10.03 Gestionar las 6. Definir y formalizar roles y responsabilidades para cada
planificar y administrados relaciones con los proveedor de servicios. Cuando varios proveedores se
organizar proveedores y los combinen para brindar un servicio, considere asignar una
contratos. función de contratista principal a uno de los proveedores para
que asuma la responsabilidad de un contrato general.

Gestión Alinear, APO10 Proveedores APO10.03 Gestionar las 7. Evaluar la eficacia de la relación e identificar las mejoras
planificar y administrados relaciones con los necesarias.
organizar proveedores y los
contratos.

Gestión Alinear, APO10 Proveedores APO10.03 Gestionar las 8. Definir, comunicar y acordar formas de implementar las
planificar y administrados relaciones con los mejoras requeridas en la relación.
organizar proveedores y los
contratos.

Gestión Alinear, APO10 Proveedores APO10.04 Gestionar el riesgo de 1. Al preparar el contrato, prevea el riesgo potencial del
planificar y administrados los proveedores. servicio definiendo claramente los requisitos del servicio,
organizar incluidos los acuerdos de custodia del software, los
proveedores alternativos o los acuerdos de reserva para
mitigar la posible falla del proveedor; seguridad y protección
de la PI; privacidad; y cualquier requisito legal o
reglamentario.
Gestión Alinear, APO10 Proveedores APO10.04 Gestionar el riesgo de 2. Identificar, controlar y, en su caso, gestionar el riesgo
planificar y administrados los proveedores. relacionado con la capacidad del proveedor para prestar el
organizar servicio de forma eficiente, eficaz, segura, confidencial, fiable
y continua. Integre los procesos críticos internos de gestión de
TI con los de los proveedores de servicios subcontratados,
cubriendo, por ejemplo, la planificación del rendimiento y la
capacidad, la gestión de cambios y la gestión de la

177
Gestión Alinear, APO10 Proveedores APO10.04 Gestionar el riesgo de 3. Evaluar el ecosistema más grande del proveedor e
planificar y administrados los proveedores. identificar, monitorear y, cuando corresponda, administrar el
organizar riesgo relacionado con los subcontratistas y los proveedores
ascendentes que influyen en la capacidad del proveedor para
brindar el servicio de manera eficiente, efectiva, segura,
confiable y continua.
Gestión Alinear, APO10 Proveedores APO10.05 Supervise el 1. Solicitar revisiones independientes de las prácticas y
planificar y administrados rendimiento y el controles internos del proveedor, si es necesario.
organizar cumplimiento de los
proveedores.

Gestión Alinear, APO10 Proveedores APO10.05 Supervise el 2. Definir y documentar criterios para monitorear el
planificar y administrados rendimiento y el desempeño del proveedor alineado con los acuerdos de nivel
organizar cumplimiento de los de servicio. Asegúrese de que el proveedor informe de
proveedores. manera regular y transparente sobre los criterios acordados.

Gestión Alinear, APO10 Proveedores APO10.05 Supervise el 3. Supervisar y revisar la prestación de servicios para
planificar y administrados rendimiento y el garantizar que el proveedor proporcione una calidad de
organizar cumplimiento de los servicio aceptable, cumpla con los requisitos y se adhiera a las
proveedores. condiciones del contrato.

Gestión Alinear, APO10 Proveedores APO10.05 Supervise el 4. Revisar el rendimiento del proveedor y la relación calidad-
planificar y administrados rendimiento y el precio. Asegúrese de que el proveedor sea confiable y
organizar cumplimiento de los competitivo, en comparación con los proveedores alternativos
proveedores. y las condiciones del mercado.

Gestión Alinear, APO10 Proveedores APO10.05 Supervise el 5. Supervisar y evaluar la información disponible
planificar y administrados rendimiento y el externamente sobre el proveedor y la cadena de suministro
organizar cumplimiento de los del proveedor.
proveedores.

178
Gestión Alinear, APO10 Proveedores APO10.05 Supervise el 6. Registre y evalúe los resultados de la revisión
planificar y administrados rendimiento y el periódicamente y discútalos con el proveedor para identificar
organizar cumplimiento de los necesidades y oportunidades de mejora.
proveedores.

Gestión Alinear, APO11 Calidad APO11.01 Establecer un sistema 1. Garantizar que el marco de control de I&T y los procesos
planificar y gestionada de gestión de la comerciales y de TI incluyan un enfoque estándar, formal y
organizar calidad (SGC). continuo para la gestión de la calidad que esté alineado con
los requisitos de la empresa. Dentro del marco de control de
I&T y los procesos de negocios y de TI, identifique los
requisitos y criterios de calidad (p. ej., con base en los
requisitos legales y los requisitos de los clientes).
Gestión Alinear, APO11 Calidad APO11.01 Establecer un sistema 2. Definir roles, tareas, derechos de decisión y
planificar y gestionada de gestión de la responsabilidades para la gestión de la calidad en la estructura
organizar calidad (SGC). organizativa.

Gestión Alinear, APO11 Calidad APO11.01 Establecer un sistema 3. Obtener aportes de la gerencia y de las partes interesadas
planificar y gestionada de gestión de la internas y externas sobre la definición de los requisitos de
organizar calidad (SGC). calidad y los criterios de gestión de la calidad.

Gestión Alinear, APO11 Calidad APO11.01 Establecer un sistema 4. Monitorear y revisar regularmente el QMS contra los
planificar y gestionada de gestión de la criterios de aceptación acordados. Incluya comentarios de
organizar calidad (SGC). clientes, usuarios y administración.

Gestión Alinear, APO11 Calidad APO11.01 Establecer un sistema 5. Responder a las discrepancias en los resultados de la
planificar y gestionada de gestión de la revisión para mejorar continuamente el SGC.
organizar calidad (SGC).

179
Gestión Alinear, APO11 Calidad APO11.02 Centrar la gestión de 1. Centrar la gestión de la calidad en los clientes
planificar y gestionada la calidad en los determinando los requisitos de los clientes internos y externos
organizar clientes. y asegurando la alineación de los estándares y prácticas de
I&T. Defina y comunique los roles y responsabilidades
relacionados con la resolución de conflictos entre el
usuario/cliente y la organización de TI.
Gestión Alinear, APO11 Calidad APO11.02 Centrar la gestión de 2. Administrar las necesidades y expectativas comerciales para
planificar y gestionada la calidad en los cada proceso comercial, servicio operativo de TI y nuevas
organizar clientes. soluciones. Mantener sus criterios de aceptación de calidad.

Gestión Alinear, APO11 Calidad APO11.02 Centrar la gestión de 3. Comunicar los requisitos y expectativas de los clientes en
planificar y gestionada la calidad en los toda la organización comercial y de TI.
organizar clientes.

Gestión Alinear, APO11 Calidad APO11.02 Centrar la gestión de 4. Obtener periódicamente las opiniones de los clientes sobre
planificar y gestionada la calidad en los los procesos comerciales y el aprovisionamiento de servicios y
organizar clientes. la entrega de soluciones de TI. Determine el impacto en los
estándares y prácticas de I&T y asegúrese de que se cumplan
y actúen las expectativas del cliente.

Gestión Alinear, APO11 Calidad APO11.02 Centrar la gestión de 5. Capture los criterios de aceptación de calidad para su
planificar y gestionada la calidad en los inclusión en los SLA.
organizar clientes.

Gestión Alinear, APO11 Calidad APO11.03 Administre 1. Definir los estándares, prácticas y procedimientos de
planificar y gestionada estándares, prácticas gestión de la calidad de acuerdo con los requisitos del marco
organizar y procedimientos de de control de I&T y los criterios y políticas de gestión de la
calidad e integre la calidad de la empresa.
gestión de calidad en
procesos y soluciones
clave.

180
Gestión Alinear, APO11 Calidad APO11.03 Administre 2. Integrar las prácticas de gestión de calidad requeridas en
planificar y gestionada estándares, prácticas procesos y soluciones clave en toda la organización.
organizar y procedimientos de
calidad e integre la
gestión de calidad en
procesos y soluciones
clave.
Gestión Alinear, APO11 Calidad APO11.03 Administre 3. Considere los beneficios y costos de las certificaciones de
planificar y gestionada estándares, prácticas calidad.
organizar y procedimientos de
calidad e integre la
gestión de calidad en
procesos y soluciones
clave.
Gestión Alinear, APO11 Calidad APO11.03 Administre 4. Comunicar de manera efectiva el enfoque de gestión de la
planificar y gestionada estándares, prácticas calidad (por ejemplo, a través de programas regulares y
organizar y procedimientos de formales de capacitación en calidad).
calidad e integre la
gestión de calidad en
procesos y soluciones
clave.
Gestión Alinear, APO11 Calidad APO11.03 Administre 5. Registrar y monitorear datos de calidad. Utilice las buenas
planificar y gestionada estándares, prácticas prácticas de la industria como referencia al mejorar y adaptar
organizar y procedimientos de las prácticas de calidad de la empresa.
calidad e integre la
gestión de calidad en
procesos y soluciones
clave.
Gestión Alinear, APO11 Calidad APO11.03 Administre 6. Revisar periódicamente la pertinencia, la eficiencia y la
planificar y gestionada estándares, prácticas eficacia continuas de los procesos específicos de gestión de la
organizar y procedimientos de calidad. Supervisar el logro de los objetivos de calidad.
calidad e integre la
gestión de calidad en
procesos y soluciones
clave.
Gestión Alinear, APO11 Calidad APO11.04 Realizar seguimiento, 1. Preparar y realizar revisiones de calidad para procesos y
planificar y gestionada control y revisiones soluciones clave de la organización.
organizar de calidad.

181
Gestión Alinear, APO11 Calidad APO11.04 Realizar seguimiento, 2. Para estos procesos y soluciones clave de la organización,
planificar y gestionada control y revisiones supervise las métricas de calidad impulsadas por objetivos
organizar de calidad. alineadas con los objetivos generales de calidad.

Gestión Alinear, APO11 Calidad APO11.04 Realizar seguimiento, 3. Asegurarse de que la gerencia y los propietarios de los
planificar y gestionada control y revisiones procesos revisen periódicamente el desempeño de la gestión
organizar de calidad. de calidad frente a las métricas de calidad definidas.

Gestión Alinear, APO11 Calidad APO11.04 Realizar seguimiento, 4. Analizar los resultados generales del desempeño de la
planificar y gestionada control y revisiones gestión de la calidad.
organizar de calidad.

Gestión Alinear, APO11 Calidad APO11.04 Realizar seguimiento, 5. Informar sobre los resultados de la revisión del desempeño
planificar y gestionada control y revisiones de la gestión de la calidad e iniciar mejoras cuando
organizar de calidad. corresponda.

Gestión Alinear, APO11 Calidad APO11.05 Mantener la mejora 1. Establecer una plataforma para compartir buenas prácticas
planificar y gestionada continua. y capturar información sobre defectos y errores para permitir
organizar aprender de ellos.

Gestión Alinear, APO11 Calidad APO11.05 Mantener la mejora 2. Identificar ejemplos de procesos de entrega de excelente
planificar y gestionada continua. calidad que puedan beneficiar a otros servicios o proyectos.
organizar Compártalos con los equipos de entrega de servicios y
proyectos para fomentar la mejora.

182
Gestión Alinear, APO11 Calidad APO11.05 Mantener la mejora 3. Identificar ejemplos recurrentes de defectos de calidad.
planificar y gestionada continua. Determinar su causa raíz, evaluar su impacto y resultado, y
organizar acordar acciones de mejora con los equipos de entrega del
servicio y/o proyecto.

Gestión Alinear, APO11 Calidad APO11.05 Mantener la mejora 4. Capacitar a los empleados en los métodos y herramientas
planificar y gestionada continua. de mejora continua.
organizar

Gestión Alinear, APO11 Calidad APO11.05 Mantener la mejora 5. Compare los resultados de las revisiones de calidad con
planificar y gestionada continua. datos históricos internos, pautas de la industria, estándares y
organizar datos de tipos similares de empresas.

Gestión Alinear, APO12 Riesgo APO12.01 Recolectar datos. 1. Establecer y mantener un método para la recopilación,
planificar y gestionado clasificación y análisis de datos relacionados con el riesgo de
organizar I&T.

Gestión Alinear, APO12 Riesgo APO12.01 Recolectar datos. 2. Registrar datos relevantes y significativos relacionados con
planificar y gestionado el riesgo de I&T en el entorno operativo interno y externo de
organizar la empresa.

Gestión Alinear, APO12 Riesgo APO12.01 Recolectar datos. 3. Adoptar o definir una taxonomía de riesgo para definiciones
planificar y gestionado consistentes de escenarios de riesgo y categorías de impacto y
organizar probabilidad.

183
Gestión Alinear, APO12 Riesgo APO12.01 Recolectar datos. 4. Registrar datos sobre eventos de riesgo que hayan causado
planificar y gestionado o puedan causar impactos en el negocio según las categorías
organizar de impacto definidas en la taxonomía de riesgos. Capture
datos relevantes de asuntos relacionados, incidentes,
problemas e investigaciones.

Gestión Alinear, APO12 Riesgo APO12.01 Recolectar datos. 5. Inspeccionar y analizar los datos históricos de riesgo de I&T
planificar y gestionado y la experiencia de pérdidas a partir de datos y tendencias
organizar disponibles externamente, pares de la industria a través de
registros de eventos basados en la industria, bases de datos y
acuerdos de la industria para la divulgación de eventos
comunes.
Gestión Alinear, APO12 Riesgo APO12.01 Recolectar datos. 6. Para clases de eventos similares, organice los datos
planificar y gestionado recopilados y destaque los factores contribuyentes.
organizar Determine los factores contribuyentes comunes en múltiples
eventos.

Gestión Alinear, APO12 Riesgo APO12.01 Recolectar datos. 7. Determinar las condiciones específicas que existían o
planificar y gestionado estaban ausentes cuando ocurrieron los eventos de riesgo y la
organizar forma en que las condiciones afectaron la frecuencia de los
eventos y la magnitud de las pérdidas.

Gestión Alinear, APO12 Riesgo APO12.01 Recolectar datos. 8. Realizar análisis periódicos de eventos y factores de riesgo
planificar y gestionado para identificar problemas de riesgo nuevos o emergentes y
organizar obtener una comprensión de los factores de riesgo internos y
externos asociados.

Gestión Alinear, APO12 Riesgo APO12.02 Analizar riesgo. 1. Definir el alcance apropiado de los esfuerzos de análisis de
planificar y gestionado riesgo, considerando todos los factores de riesgo y/o la
organizar criticidad comercial de los activos.

184
Gestión Alinear, APO12 Riesgo APO12.02 Analizar riesgo. 2. Construir y actualizar regularmente escenarios de riesgo de
planificar y gestionado I&T; exposiciones a pérdidas relacionadas con I&T; y
organizar escenarios relacionados con el riesgo reputacional, incluidos
escenarios compuestos de eventos y tipos de amenazas en
cascada y/o coincidentes. Desarrolle expectativas para
actividades de control específicas y capacidades para
detectar.
Gestión Alinear, APO12 Riesgo APO12.02 Analizar riesgo. 3. Estimar la frecuencia (o probabilidad) y la magnitud de la
planificar y gestionado pérdida o ganancia asociada con los escenarios de riesgo de
organizar I&T. Tenga en cuenta todos los factores de riesgo aplicables y
evalúe los controles operativos conocidos.

Gestión Alinear, APO12 Riesgo APO12.02 Analizar riesgo. 4. Comparar el riesgo actual (exposición a pérdidas
planificar y gestionado relacionadas con I&T) con el apetito por el riesgo y la
organizar tolerancia al riesgo aceptable. Identificar el riesgo inaceptable
o elevado.

Gestión Alinear, APO12 Riesgo APO12.02 Analizar riesgo. 5. Proponer respuestas de riesgo para el riesgo que exceda los
planificar y gestionado niveles de apetito y tolerancia al riesgo.
organizar

Gestión Alinear, APO12 Riesgo APO12.02 Analizar riesgo. 6. Especificar requisitos de alto nivel para proyectos o
planificar y gestionado programas que implementarán las respuestas de riesgo
organizar seleccionadas. Identificar los requisitos y expectativas para los
controles clave apropiados para las respuestas de mitigación
de riesgos.

Gestión Alinear, APO12 Riesgo APO12.02 Analizar riesgo. 7. Validar los resultados del análisis de riesgos y del análisis de
planificar y gestionado impacto en el negocio (BIA) antes de utilizarlos en la toma de
organizar decisiones. Confirme que el análisis se alinea con los
requisitos de la empresa y verifique que las estimaciones se
hayan calibrado correctamente y se hayan analizado en busca
de sesgos.

185
Gestión Alinear, APO12 Riesgo APO12.02 Analizar riesgo. 8. Analizar el costo/beneficio de las posibles opciones de
planificar y gestionado respuesta al riesgo, como evitar, reducir/mitigar,
organizar transferir/compartir y aceptar y explotar/aprovechar.
Confirmar la respuesta óptima al riesgo.

Gestión Alinear, APO12 Riesgo APO12.03 Mantener un perfil de 1. Inventariar los procesos comerciales y documentar su
planificar y gestionado riesgo. dependencia de los procesos de gestión de servicios de I&T y
organizar los recursos de infraestructura de TI. Identifique el personal
de apoyo, las aplicaciones, la infraestructura, las instalaciones,
los registros manuales críticos, los vendedores, los
proveedores y los subcontratistas.
Gestión Alinear, APO12 Riesgo APO12.03 Mantener un perfil de 2. Determinar y acordar qué servicios de I&T y recursos de
planificar y gestionado riesgo. infraestructura de TI son esenciales para sostener la operación
organizar de los procesos comerciales. Analice las dependencias e
identifique los vínculos débiles.

Gestión Alinear, APO12 Riesgo APO12.03 Mantener un perfil de 3. Agregar los escenarios de riesgo actuales por categoría,
planificar y gestionado riesgo. línea de negocio y área funcional.
organizar

Gestión Alinear, APO12 Riesgo APO12.03 Mantener un perfil de 4. Capturar regularmente toda la información del perfil de
planificar y gestionado riesgo. riesgo y consolidarla en un perfil de riesgo agregado.
organizar

Gestión Alinear, APO12 Riesgo APO12.03 Mantener un perfil de 5. Capturar información sobre el estado del plan de acción de
planificar y gestionado riesgo. riesgo para su inclusión en el perfil de riesgo de I&T de la
organizar empresa.

186
Gestión Alinear, APO12 Riesgo APO12.03 Mantener un perfil de 6. Con base en todos los datos del perfil de riesgo, defina un
planificar y gestionado riesgo. conjunto de indicadores de riesgo que permitan la
organizar identificación y el seguimiento rápidos del riesgo actual y las
tendencias de riesgo.

Gestión Alinear, APO12 Riesgo APO12.03 Mantener un perfil de 7. Capturar información sobre eventos de riesgo de I&T que se
planificar y gestionado riesgo. han materializado para su inclusión en el perfil de riesgo de TI
organizar de la empresa.

Gestión Alinear, APO12 Riesgo APO12.04 Riesgo articulado. 1. Informar los resultados del análisis de riesgos a todas las
planificar y gestionado partes interesadas afectadas en términos y formatos útiles
organizar para respaldar las decisiones empresariales. Siempre que sea
posible, incluya probabilidades y rangos de pérdida o ganancia
junto con niveles de confianza, para permitir que la
administración equilibre el riesgo y el rendimiento.
Gestión Alinear, APO12 Riesgo APO12.04 Riesgo articulado. 2. Brindar a los tomadores de decisiones una comprensión de
planificar y gestionado los escenarios más probables y peores, las exposiciones a
organizar pérdidas relacionadas con I&T y la reputación significativa, las
consideraciones legales y reglamentarias, o cualquier otra
categoría de impacto según la taxonomía de riesgos.

Gestión Alinear, APO12 Riesgo APO12.04 Riesgo articulado. 3. Informar el perfil de riesgo actual a todas las partes
planificar y gestionado interesadas. Incluya información sobre la eficacia del proceso
organizar de gestión de riesgos, la eficacia del control, las brechas, las
inconsistencias, las redundancias, el estado de remediación y
sus impactos en el perfil de riesgo.

Gestión Alinear, APO12 Riesgo APO12.04 Riesgo articulado. 4. Periódicamente, para áreas con riesgo relativo y paridad de
planificar y gestionado capacidad de riesgo, identificar oportunidades relacionadas
organizar con I&T que permitirían la aceptación de un mayor riesgo y un
mayor crecimiento y rendimiento.

187
Gestión Alinear, APO12 Riesgo APO12.04 Riesgo articulado. 5. Revisar los resultados de las evaluaciones objetivas de
planificar y gestionado terceros y las revisiones de control de calidad y auditoría
organizar interna. Incluirlos en el perfil de riesgo. Revise las brechas
identificadas y las exposiciones a pérdidas relacionadas con
I&T para determinar la necesidad de un análisis de riesgo
adicional.
Gestión Alinear, APO12 Riesgo APO12.05 Definir una cartera de 1. Mantener un inventario de las actividades de control que
planificar y gestionado acciones de gestión existen para mitigar el riesgo y que permiten asumir el riesgo
organizar de riesgos. de acuerdo con el apetito y la tolerancia al riesgo. Clasifique
las actividades de control y asignelas a escenarios de riesgo de
I&T específicos y agregaciones de escenarios de riesgo de I&T.

Gestión Alinear, APO12 Riesgo APO12.05 Definir una cartera de 2. Determinar si cada entidad organizativa supervisa el riesgo
planificar y gestionado acciones de gestión y acepta la responsabilidad de operar dentro de sus niveles de
organizar de riesgos. tolerancia individuales y de cartera.

Gestión Alinear, APO12 Riesgo APO12.05 Definir una cartera de 3. Definir un conjunto equilibrado de propuestas de proyectos
planificar y gestionado acciones de gestión diseñados para reducir el riesgo y/o proyectos que permitan
organizar de riesgos. oportunidades empresariales estratégicas, considerando
costos, beneficios, efecto sobre el perfil de riesgo actual y
regulaciones.

Gestión Alinear, APO12 Riesgo APO12.06 Responder al riesgo. 1. Preparar, mantener y probar planes que documenten los
planificar y gestionado pasos específicos a seguir cuando un evento de riesgo pueda
organizar causar un incidente operativo o de desarrollo significativo con
un impacto comercial grave. Asegúrese de que los planes
incluyan vías de escalamiento en toda la empresa.

Gestión Alinear, APO12 Riesgo APO12.06 Responder al riesgo. 2. Aplicar el plan de respuesta adecuado para minimizar el
planificar y gestionado impacto cuando se produzcan incidentes de riesgo.
organizar

188
Gestión Alinear, APO12 Riesgo APO12.06 Responder al riesgo. 3. Categorizar los incidentes y comparar las exposiciones a
planificar y gestionado pérdidas relacionadas con I&T con los umbrales de tolerancia
organizar al riesgo. Comunique los impactos comerciales a los
tomadores de decisiones como parte de los informes y
actualice el perfil de riesgo.

Gestión Alinear, APO12 Riesgo APO12.06 Responder al riesgo. 4. Examinar eventos adversos/pérdidas pasadas y
planificar y gestionado oportunidades perdidas y determinar las causas
organizar fundamentales.

Gestión Alinear, APO12 Riesgo APO12.06 Responder al riesgo. 5. Comunicar la causa raíz, los requisitos adicionales de
planificar y gestionado respuesta al riesgo y las mejoras del proceso a los
organizar responsables de la toma de decisiones. Asegúrese de que la
causa, los requisitos de respuesta y la mejora del proceso
estén incluidos en los procesos de gobierno del riesgo.

Gestión Alinear, APO13 Seguridad APO13.01 Establecer y 1. Definir el alcance y los límites del sistema de gestión de
planificar y administrada mantener un sistema seguridad de la información (SGSI) en términos de las
organizar de gestión de características de la empresa, la organización, su ubicación,
seguridad de la activos y tecnología. Incluya detalles y justificación de
información (SGSI). cualquier exclusión del alcance.

Gestión Alinear, APO13 Seguridad APO13.01 Establecer y 2. Definir un SGSI de acuerdo con la política empresarial y el
planificar y administrada mantener un sistema contexto en el que opera la empresa.
organizar de gestión de
seguridad de la
información (SGSI).

Gestión Alinear, APO13 Seguridad APO13.01 Establecer y 3. Alinear el SGSI con el enfoque empresarial general para la
planificar y administrada mantener un sistema gestión de la seguridad.
organizar de gestión de
seguridad de la
información (SGSI).

189
Gestión Alinear, APO13 Seguridad APO13.01 Establecer y 4. Obtener autorización de la gerencia para implementar y
planificar y administrada mantener un sistema operar o cambiar el SGSI.
organizar de gestión de
seguridad de la
información (SGSI).

Gestión Alinear, APO13 Seguridad APO13.01 Establecer y 5. Preparar y mantener una declaración de aplicabilidad que
planificar y administrada mantener un sistema describa el alcance del SGSI.
organizar de gestión de
seguridad de la
información (SGSI).

Gestión Alinear, APO13 Seguridad APO13.01 Establecer y 6. Definir y comunicar las funciones y responsabilidades de
planificar y administrada mantener un sistema gestión de la seguridad de la información.
organizar de gestión de
seguridad de la
información (SGSI).

Gestión Alinear, APO13 Seguridad APO13.01 Establecer y 7. Comunicar el enfoque SGSI.

planificar y administrada mantener un sistema
organizar de gestión de
seguridad de la
información (SGSI).

Gestión Alinear, APO13 Seguridad APO13.02 Definir y gestionar un 1. Formular y mantener un plan de tratamiento de riesgos de
planificar y administrada plan de tratamiento seguridad de la información alineado con el objetivo
organizar de riesgos de estratégico y la arquitectura empresarial. Asegúrese de que el
seguridad y plan identifique las prácticas de gestión y las soluciones de
privacidad de la seguridad adecuadas y óptimas, con los recursos, las
información. responsabilidades y las prioridades asociados para gestionar
los riesgos de seguridad de la información identificados.
Gestión Alinear, APO13 Seguridad APO13.02 Definir y gestionar un 2. Mantener, como parte de la arquitectura empresarial, un
planificar y administrada plan de tratamiento inventario de los componentes de la solución que están
organizar de riesgos de implementados para administrar el riesgo relacionado con la
seguridad y seguridad.
privacidad de la
información.

190
Gestión Alinear, APO13 Seguridad APO13.02 Definir y gestionar un 3. Desarrollar propuestas para implementar el plan de
planificar y administrada plan de tratamiento tratamiento de riesgos de seguridad de la información,
organizar de riesgos de respaldadas por casos comerciales adecuados que incluyan la
seguridad y consideración de financiamiento y asignación de roles y
privacidad de la responsabilidades.
información.
Gestión Alinear, APO13 Seguridad APO13.02 Definir y gestionar un 4. Proporcionar insumos para el diseño y desarrollo de
planificar y administrada plan de tratamiento prácticas de gestión y soluciones seleccionadas del plan de
organizar de riesgos de tratamiento de riesgos de seguridad de la información.
seguridad y
privacidad de la
información.
Gestión Alinear, APO13 Seguridad APO13.02 Definir y gestionar un 5. Implementar programas de capacitación y concientización
planificar y administrada plan de tratamiento sobre seguridad y privacidad de la información.
organizar de riesgos de
seguridad y
privacidad de la
información.
Gestión Alinear, APO13 Seguridad APO13.02 Definir y gestionar un 6. Integrar la planificación, diseño, implementación y
planificar y administrada plan de tratamiento seguimiento de procedimientos de seguridad y privacidad de
organizar de riesgos de la información y otros controles capaces de permitir la pronta
seguridad y prevención, detección de eventos de seguridad y respuesta a
privacidad de la incidentes de seguridad.
información.
Gestión Alinear, APO13 Seguridad APO13.02 Definir y gestionar un 7. Definir cómo medir la efectividad de las prácticas de gestión
planificar y administrada plan de tratamiento seleccionadas. Especifique cómo se utilizarán estas
organizar de riesgos de mediciones para evaluar la eficacia a fin de producir
seguridad y resultados comparables y reproducibles.
privacidad de la
información.
Gestión Alinear, APO13 Seguridad APO13.03 Supervisar y revisar el 1. Realizar revisiones periódicas de la eficacia del SGSI. Incluya
planificar y administrada sistema de gestión de el cumplimiento de la política y los objetivos del SGSI y la
organizar seguridad de la revisión de las prácticas de seguridad y privacidad.
información (SGSI).

191
Gestión Alinear, APO13 Seguridad APO13.03 Supervisar y revisar el 2. Realizar auditorías del SGSI a intervalos planificados.
planificar y administrada sistema de gestión de
organizar seguridad de la
información (SGSI).

Gestión Alinear, APO13 Seguridad APO13.03 Supervisar y revisar el 3. Llevar a cabo una revisión de gestión del SGSI de forma
planificar y administrada sistema de gestión de periódica para garantizar que el alcance siga siendo adecuado
organizar seguridad de la y se identifiquen mejoras en el proceso del SGSI.
información (SGSI).

Gestión Alinear, APO13 Seguridad APO13.03 Supervisar y revisar el 4. Registrar acciones y eventos que podrían tener un impacto
planificar y administrada sistema de gestión de en la efectividad o desempeño del SGSI.
organizar seguridad de la
información (SGSI).

Gestión Alinear, APO13 Seguridad APO13.03 Supervisar y revisar el 5. Proporcionar información para el mantenimiento de los
planificar y administrada sistema de gestión de planes de seguridad para tener en cuenta los resultados de las
organizar seguridad de la actividades de seguimiento y revisión.
información (SGSI).

Gestión Alinear, APO14 Datos APO14.01 Definir y comunicar la 1. Establecer una función de gestión de datos con la
planificar y gestionados estrategia de gestión responsabilidad de gestionar actividades que apoyen los
organizar de datos de la objetivos de gestión de datos.
organización y las
funciones y
responsabilidades.
Gestión Alinear, APO14 Datos APO14.01 Definir y comunicar la 2. Especificar roles y responsabilidades para respaldar la
planificar y gestionados estrategia de gestión gestión de datos y la interacción entre la gobernanza y la
organizar de datos de la función de gestión de datos.
organización y las
funciones y
responsabilidades.

192
Gestión Alinear, APO14 Datos APO14.01 Definir y comunicar la 3. Garantizar que el negocio y la tecnología desarrollen en
planificar y gestionados estrategia de gestión colaboración la estrategia de gestión de datos de la
organizar de datos de la organización. Asegúrese de que los objetivos, las prioridades y
organización y las el alcance de la gestión de datos reflejen los objetivos de la
funciones y empresa, sean consistentes con las políticas y regulaciones de
responsabilidades. gestión de datos y estén aprobados por todas las partes
interesadas.
Gestión Alinear, APO14 Datos APO14.01 Definir y comunicar la 4. Comunicar los objetivos, las prioridades y el alcance de la
planificar y gestionados estrategia de gestión gestión de datos y ajustarlos según sea necesario, en función
organizar de datos de la de los comentarios.
organización y las
funciones y
responsabilidades.
Gestión Alinear, APO14 Datos APO14.01 Definir y comunicar la 5. Utilizar métricas para evaluar y monitorear el logro de
planificar y gestionados estrategia de gestión objetivos para la gestión de datos.
organizar de datos de la
organización y las
funciones y
responsabilidades.
Gestión Alinear, APO14 Datos APO14.01 Definir y comunicar la 6. Supervisar el plan de secuencia para la implementación de
planificar y gestionados estrategia de gestión la estrategia de gestión de datos. Actualícelo según sea
organizar de datos de la necesario, en función de las revisiones de progreso.
organización y las
funciones y
responsabilidades.
Gestión Alinear, APO14 Datos APO14.01 Definir y comunicar la 7. Usar técnicas estadísticas y otras técnicas cuantitativas para
planificar y gestionados estrategia de gestión evaluar la eficacia de los objetivos de gestión de datos
organizar de datos de la estratégicos para lograr los objetivos comerciales. Realice las
organización y las modificaciones necesarias, en función de las métricas.
funciones y
responsabilidades.
Gestión Alinear, APO14 Datos APO14.01 Definir y comunicar la 8. Asegurarse de que la organización investigue procesos
planificar y gestionados estrategia de gestión comerciales innovadores y requisitos normativos emergentes
organizar de datos de la para garantizar que el programa de gestión de datos sea
organización y las compatible con las necesidades comerciales futuras.
funciones y
responsabilidades.

193
Gestión Alinear, APO14 Datos APO14.01 Definir y comunicar la 9. Hacer contribuciones a las mejores prácticas de la industria
planificar y gestionados estrategia de gestión para el desarrollo e implementación de estrategias de gestión
organizar de datos de la de datos.
organización y las
funciones y
responsabilidades.
Gestión Alinear, APO14 Datos APO14.02 Definir y mantener un 1. Asegúrese de que los términos comerciales estándar estén
planificar y gestionados glosario empresarial fácilmente disponibles y se comuniquen a las partes
organizar coherente. interesadas relevantes.

Gestión Alinear, APO14 Datos APO14.02 Definir y mantener un 2. Asegúrese de que cada término comercial agregado al
planificar y gestionados glosario empresarial glosario comercial tenga un nombre único y una definición
organizar coherente. única.

Gestión Alinear, APO14 Datos APO14.02 Definir y mantener un 3. Usar términos y definiciones comerciales estándar de la
planificar y gestionados glosario empresarial industria, según corresponda, en el glosario comercial.
organizar coherente.

Gestión Alinear, APO14 Datos APO14.02 Definir y mantener un 4. Establecer, documentar y seguir un proceso para definir,
planificar y gestionados glosario empresarial administrar, utilizar y mantener el glosario empresarial. Por
organizar coherente. ejemplo, las nuevas iniciativas deben aplicar términos
comerciales estándar como parte del proceso de definición de
requisitos de datos para garantizar la coherencia del lenguaje.
Esto ayudará a lograr la comparabilidad del contenido y
facilitará el intercambio de datos en toda la organización.
Gestión Alinear, APO14 Datos APO14.02 Definir y mantener un 5. Asegúrese de que los nuevos esfuerzos de desarrollo,
planificar y gestionados glosario empresarial integración de datos y consolidación de datos apliquen
organizar coherente. términos comerciales estándar como parte del proceso de
definición de requisitos de datos.

194
Gestión Alinear, APO14 Datos APO14.02 Definir y mantener un 6. Integrar el glosario empresarial en el repositorio de
planificar y gestionados glosario empresarial metadatos de la organización, con los permisos de acceso
organizar coherente. adecuados.

Gestión Alinear, APO14 Datos APO14.03 Establecer los 1. Establecer y seguir un proceso de gestión de metadatos.
planificar y gestionados procesos y la
organizar infraestructura para la
gestión de metadatos.

Gestión Alinear, APO14 Datos APO14.03 Establecer los 2. Asegúrese de que la documentación de los metadatos
planificar y gestionados procesos y la capture las interdependencias de los datos.
organizar infraestructura para la
gestión de metadatos.

Gestión Alinear, APO14 Datos APO14.03 Establecer los 3. Establecer y seguir categorías, propiedades y estándares de
planificar y gestionados procesos y la metadatos.
organizar infraestructura para la
gestión de metadatos.

Gestión Alinear, APO14 Datos APO14.03 Establecer los 4. Desarrollar y utilizar metadatos para realizar análisis de
planificar y gestionados procesos y la impacto sobre posibles cambios en los datos.
organizar infraestructura para la
gestión de metadatos.

Gestión Alinear, APO14 Datos APO14.03 Establecer los 5. Rellene el repositorio de metadatos de la organización con
planificar y gestionados procesos y la categorías y clasificaciones de metadatos adicionales de
organizar infraestructura para la acuerdo con un plan de implementación por etapas.
gestión de metadatos. Vincularlo a capas de arquitectura.

195
Gestión Alinear, APO14 Datos APO14.03 Establecer los 6. Valide los metadatos y cualquier cambio en los metadatos
planificar y gestionados procesos y la con la arquitectura existente.
organizar infraestructura para la
gestión de metadatos.

Gestión Alinear, APO14 Datos APO14.03 Establecer los 7. Asegúrese de que la organización haya desarrollado un
planificar y gestionados procesos y la metamodelo integrado implementado en todas las
organizar infraestructura para la plataformas.
gestión de metadatos.

Gestión Alinear, APO14 Datos APO14.03 Establecer los 8. Asegúrese de que los tipos de metadatos y las definiciones
planificar y gestionados procesos y la de datos admitan prácticas coherentes de importación,
organizar infraestructura para la suscripción y consumo.
gestión de metadatos.

Gestión Alinear, APO14 Datos APO14.03 Establecer los 9. Utilice medidas y métricas para evaluar la precisión y
planificar y gestionados procesos y la adopción de los metadatos.
organizar infraestructura para la
gestión de metadatos.

Gestión Alinear, APO14 Datos APO14.03 Establecer los 10. Evaluar el impacto de los cambios de datos planificados en
planificar y gestionados procesos y la el repositorio de metadatos. Mejore continuamente los
organizar infraestructura para la procesos de captura, cambio y refinamiento de metadatos.
gestión de metadatos.

Gestión Alinear, APO14 Datos APO14.04 Definir una estrategia 1. Definir una estrategia de calidad de datos en colaboración
planificar y gestionados de calidad de datos. con las partes interesadas del negocio y la tecnología,
organizar aprobada por la dirección ejecutiva y gestionada. La estrategia
debe facilitar el paso del estado actual al estado objetivo.
También debe alinearse explícitamente con los objetivos
comerciales y la estrategia de gestión de datos de la
organización.

196
Gestión Alinear, APO14 Datos APO14.04 Definir una estrategia 2. Garantizar que la estrategia de calidad de datos se siga en
planificar y gestionados de calidad de datos. toda la organización y esté acompañada de las políticas,
organizar procesos y directrices correspondientes.

Gestión Alinear, APO14 Datos APO14.04 Definir una estrategia 3. Anclar las políticas, los procesos y la gobernanza contenidos
planificar y gestionados de calidad de datos. en la estrategia de calidad de datos a lo largo del ciclo de vida
organizar de los datos. Mandar los procesos correspondientes en la
metodología del ciclo de vida del desarrollo del sistema.

Gestión Alinear, APO14 Datos APO14.04 Definir una estrategia 4. Desarrollar, monitorear y mantener un plan de secuencia
planificar y gestionados de calidad de datos. para los esfuerzos de mejora de la calidad de los datos en toda
organizar la organización.

Gestión Alinear, APO14 Datos APO14.04 Definir una estrategia 5. Para evaluar el progreso, monitorear los planes para
planificar y gestionados de calidad de datos. cumplir con las metas y objetivos de la estrategia de calidad
organizar de datos.

Gestión Alinear, APO14 Datos APO14.04 Definir una estrategia 6. Recopile sistemáticamente los informes de las partes
planificar y gestionados de calidad de datos. interesadas sobre los problemas de calidad de los datos.
organizar Incluya sus expectativas para mejorar la calidad de los datos
en la estrategia de calidad de los datos. Medirlos y
monitorearlos.

Gestión Alinear, APO14 Datos APO14.05 Establecer 1. Definir y estandarizar metodologías de perfilado de datos,
planificar y gestionados metodologías, procesos, prácticas, herramientas y plantillas de resultados.
organizar procesos y Asegúrese de que los procesos de creación de perfiles sean
herramientas de reutilizables y se aprovechen en múltiples almacenes de datos
perfilado de datos. y repositorios de datos compartidos.

197
Gestión Alinear, APO14 Datos APO14.05 Establecer 2. Involucrar la gestión de datos para identificar conjuntos de
planificar y gestionados metodologías, datos compartidos centrales que se perfilan y monitorean
organizar procesos y regularmente.
herramientas de
perfilado de datos.

Gestión Alinear, APO14 Datos APO14.05 Establecer 3. En los esfuerzos de creación de perfiles de datos, incluir la
planificar y gestionados metodologías, evaluación de la conformidad del contenido de los datos con
organizar procesos y sus metadatos y estándares aprobados.
herramientas de
perfilado de datos.

Gestión Alinear, APO14 Datos APO14.05 Establecer 4. Durante una actividad de creación de perfiles de datos,
planificar y gestionados metodologías, compare los problemas reales con los problemas
organizar procesos y pronosticados estadísticamente, en función de los resultados
herramientas de históricos de creación de perfiles.
perfilado de datos.

Gestión Alinear, APO14 Datos APO14.05 Establecer 5. Asegúrese de que los resultados se almacenen de forma
planificar y gestionados metodologías, centralizada, se supervisen y analicen sistemáticamente con
organizar procesos y respecto a las estadísticas y métricas. Proporcione la
herramientas de información resultante sobre las mejoras en la calidad de los
perfilado de datos. datos a lo largo del tiempo.

Gestión Alinear, APO14 Datos APO14.05 Establecer 6. Cree informes de perfiles automatizados en tiempo real o
planificar y gestionados metodologías, casi en tiempo real para todas las fuentes y repositorios de
organizar procesos y datos críticos.
herramientas de
perfilado de datos.

Gestión Alinear, APO14 Datos APO14.06 Garantizar un 1. Realizar periódicamente evaluaciones de la calidad de los
planificar y gestionados enfoque de datos, de acuerdo con la frecuencia aprobada por la política
organizar evaluación de la de evaluación de la calidad de los datos. Asegúrese de que el
calidad de los datos. gobierno de datos determine el conjunto clave de atributos
por área temática para las evaluaciones de calidad de datos.

198
Gestión Alinear, APO14 Datos APO14.06 Garantizar un 2. Incluir recomendaciones para la remediación, con
planificar y gestionados enfoque de justificación de apoyo, en los resultados de la evaluación de la
organizar evaluación de la calidad de los datos.
calidad de los datos.

Gestión Alinear, APO14 Datos APO14.06 Garantizar un 3. Evaluar la calidad de los datos, utilizando umbrales y
planificar y gestionados enfoque de objetivos establecidos para cada dimensión de calidad
organizar evaluación de la seleccionada.
calidad de los datos.

Gestión Alinear, APO14 Datos APO14.06 Garantizar un 4. Generar sistemáticamente informes de medición de la
planificar y gestionados enfoque de calidad de los datos, basados en la criticidad de los atributos y
organizar evaluación de la la volatilidad de los datos.
calidad de los datos.

Gestión Alinear, APO14 Datos APO14.06 Garantizar un 5. Revisar y mejorar continuamente la evaluación de la calidad
planificar y gestionados enfoque de de los datos y los procesos de elaboración de informes.
organizar evaluación de la
calidad de los datos.

Gestión Alinear, APO14 Datos APO14.07 Definir el enfoque de 1. Establecer y mantener una política de limpieza de datos.
planificar y gestionados limpieza de datos.
organizar

Gestión Alinear, APO14 Datos APO14.07 Definir el enfoque de 2. Mantener el historial de cambios de datos a través de
planificar y gestionados limpieza de datos. actividades de limpieza.
organizar

199
Gestión Alinear, APO14 Datos APO14.07 Definir el enfoque de 3. Establecer métodos para corregir los datos y definir esos
planificar y gestionados limpieza de datos. métodos dentro de un plan. Los métodos pueden incluir
organizar comparación de múltiples repositorios, verificación contra una
fuente válida, controles lógicos, integridad referencial o
tolerancia de rango.

Gestión Alinear, APO14 Datos APO14.07 Definir el enfoque de 4. En los acuerdos de nivel de servicio, incluya criterios de
planificar y gestionados limpieza de datos. calidad de datos para responsabilizar a los proveedores de
organizar datos por los datos limpios.

Gestión Alinear, APO14 Datos APO14.08 Gestionar el ciclo de 1. Mapear y alinear los requisitos de los consumidores y
planificar y gestionados vida de los activos de productores de datos.
organizar datos.

Gestión Alinear, APO14 Datos APO14.08 Gestionar el ciclo de 2. Definir asignaciones de procesos de negocio a datos.
planificar y gestionados vida de los activos de Mantenerlos y revisarlos periódicamente para verificar su
organizar datos. cumplimiento.

Gestión Alinear, APO14 Datos APO14.08 Gestionar el ciclo de 3. Seguir un proceso definido para acuerdos de colaboración
planificar y gestionados vida de los activos de con respecto a los datos compartidos y el uso de datos dentro
organizar datos. de los procesos comerciales.

Gestión Alinear, APO14 Datos APO14.08 Gestionar el ciclo de 4. Implementar flujos de datos y mapas completos del ciclo de
planificar y gestionados vida de los activos de vida de datos a procesos para datos compartidos para cada
organizar datos. proceso comercial importante a nivel organizacional.

200
Gestión Alinear, APO14 Datos APO14.08 Gestionar el ciclo de 5. Asegúrese de que los cambios en los conjuntos de datos
planificar y gestionados vida de los activos de compartidos o los conjuntos de datos de destino para un
organizar datos. propósito comercial específico sean administrados por
estructuras de gobierno de datos, con la participación de las
partes interesadas relevantes.

Gestión Alinear, APO14 Datos APO14.08 Gestionar el ciclo de 6. Utilice métricas para ampliar la reutilización de datos
planificar y gestionados vida de los activos de compartidos aprobados y eliminar la redundancia de
organizar datos. procesos.

Gestión Alinear, APO14 Datos APO14.09 Admite el archivo y la 1. Asegúrese de que las políticas exijan la gestión del historial
planificar y gestionados retención de datos. de datos, incluidos los requisitos de retención, destrucción y
organizar registro de auditoría.

Gestión Alinear, APO14 Datos APO14.09 Admite el archivo y la 2. Asegurar la existencia de un método definido que garantice
planificar y gestionados retención de datos. la accesibilidad a los datos históricos necesarios para soportar
organizar las necesidades del negocio.

Gestión Alinear, APO14 Datos APO14.09 Admite el archivo y la 3. Usar políticas y procesos para controlar el acceso, la
planificar y gestionados retención de datos. transmisión y las modificaciones a los datos históricos y
organizar archivados.

Gestión Alinear, APO14 Datos APO14.09 Admite el archivo y la 4. Asegúrese de que la organización tenga un depósito de
planificar y gestionados retención de datos. almacenamiento de datos prescrito que brinde acceso a datos
organizar históricos para satisfacer las necesidades de análisis que
respalden los procesos comerciales.

201
Gestión Alinear, APO14 Datos APO14.10 Gestione los arreglos 1. Defina un cronograma para garantizar la copia de seguridad
planificar y gestionados de copia de seguridad correcta de todos los datos críticos, teniendo en cuenta la
organizar y restauración de frecuencia, el tipo de copia de seguridad, la seguridad, la
datos. privacidad y otros criterios.

Gestión Alinear, APO14 Datos APO14.10 Gestione los arreglos 2. Definir los requisitos para el almacenamiento en el sitio y
planificar y gestionados de copia de seguridad fuera del sitio de los datos de respaldo, teniendo en cuenta el
organizar y restauración de volumen, la capacidad y el período de retención, en
datos. consonancia con los requisitos del negocio.

Gestión Alinear, APO14 Datos APO14.10 Gestione los arreglos 3. Establezca un programa de prueba para los datos de
planificar y gestionados de copia de seguridad respaldo. Asegúrese de que los datos se puedan restaurar
organizar y restauración de correctamente sin afectar drásticamente el negocio.
datos.

Gestión Construir, BAI01 Programas BAI01.01 Mantener un enfoque 1. Mantener y hacer cumplir un enfoque estándar para la
adquirir e administrados estándar para la gestión de programas, alineado con el entorno específico de la
implementar gestión del programa. empresa y con buenas prácticas basadas en procesos
definidos y el uso de la tecnología adecuada. Asegúrese de
que el enfoque cubra el ciclo de vida completo y las disciplinas
a seguir, incluida la gestión del alcance, los recursos, el riesgo,
el costo, la calidad, el tiempo, la comunicación, la
Gestión Construir, BAI01 Programas BAI01.01 Mantener un enfoque 2. Establecer una oficina de programas o una oficina de
adquirir e administrados estándar para la gestión de proyectos (PMO) que mantenga el enfoque
implementar gestión del programa. estándar para la gestión de programas y proyectos en toda la
organización. La PMO respalda todos los programas y
proyectos al crear y mantener las plantillas de documentación
de proyectos requeridas, brindar capacitación y mejores
prácticas para los administradores de programas/proyectos,
Gestión Construir, BAI01 Programas BAI01.01 Mantener un enfoque 3. Evaluar las lecciones aprendidas sobre la base del uso del
adquirir e administrados estándar para la enfoque de gestión de programas y actualizar el enfoque en
implementar gestión del programa. consecuencia.

202
Gestión Construir, BAI01 Programas BAI01.02 Iniciar un programa. 1. Acordar el patrocinio del programa. Designar una
adquirir e administrados junta/comité del programa con miembros que tengan un
implementar interés estratégico en el programa, responsabilidad en la toma
de decisiones de inversión, que se verán significativamente
afectados por el programa y que serán necesarios para
permitir la entrega del cambio.
Gestión Construir, BAI01 Programas BAI01.02 Iniciar un programa. 2. Designar un gerente dedicado para el programa, con las
adquirir e administrados competencias y habilidades correspondientes para
implementar administrar el programa de manera efectiva y eficiente.

Gestión Construir, BAI01 Programas BAI01.02 Iniciar un programa. 3. Confirmar el mandato del programa con los patrocinadores
adquirir e administrados y las partes interesadas. Articular los objetivos estratégicos del
implementar programa, las estrategias potenciales para la entrega, la
mejora y los beneficios que se esperan, y cómo encaja el
programa con otras iniciativas.

Gestión Construir, BAI01 Programas BAI01.02 Iniciar un programa. 4. Desarrollar un caso de negocios detallado para un
adquirir e administrados programa. Involucrar a todas las partes interesadas clave para
implementar desarrollar y documentar una comprensión completa de los
resultados esperados de la empresa, cómo se medirán, el
alcance completo de las iniciativas requeridas, el riesgo
involucrado y el impacto en todos los aspectos de la empresa.
Identificar y evaluar cursos de acción alternativos para lograr
Gestión Construir, BAI01 Programas BAI01.02 Iniciar un programa. 5. Desarrollar un plan de realización de beneficios que se
adquirir e administrados administrará a lo largo del programa para garantizar que los
implementar beneficios planificados siempre tengan propietarios y se
logren, mantengan y optimicen.

Gestión Construir, BAI01 Programas BAI01.02 Iniciar un programa. 6. Preparar el caso de negocio del programa inicial
adquirir e administrados (conceptual), proporcionando información esencial para la
implementar toma de decisiones con respecto al propósito, la contribución
a los objetivos comerciales, el valor esperado creado, los
plazos, etc. Presentarlo para su aprobación.

203
Gestión Construir, BAI01 Programas BAI01.03 Gestionar la 1. Planificar cómo se identificarán, analizarán, comprometerán
adquirir e administrados participación de las y gestionarán las partes interesadas dentro y fuera de la
implementar partes interesadas. empresa a lo largo del ciclo de vida de los proyectos.

Gestión Construir, BAI01 Programas BAI01.03 Gestionar la 2. Identificar, involucrar y administrar a las partes interesadas
adquirir e administrados participación de las estableciendo y manteniendo niveles apropiados de
implementar partes interesadas. coordinación, comunicación y enlace para garantizar que
participen en el programa.

Gestión Construir, BAI01 Programas BAI01.03 Gestionar la 3. Analizar los intereses y requisitos de las partes interesadas.
adquirir e administrados participación de las
implementar partes interesadas.

Gestión Construir, BAI01 Programas BAI01.03 Gestionar la 4. Seguir un proceso definido para acuerdos de colaboración
adquirir e administrados participación de las con respecto a los datos compartidos y el uso de datos dentro
implementar partes interesadas. de los procesos comerciales.

Gestión Construir, BAI01 Programas BAI01.04 Desarrollar y 1. Especifique la financiación, el costo, el cronograma y las
adquirir e administrados mantener el plan del interdependencias de múltiples proyectos.
implementar programa.

Gestión Construir, BAI01 Programas BAI01.04 Desarrollar y 2. Definir y documentar el plan del programa que cubre todos
adquirir e administrados mantener el plan del los proyectos. Incluir lo que se necesita para generar cambios
implementar programa. en la empresa; su propósito, misión, visión, valores, cultura,
productos y servicios; Procesos de negocios; habilidades de
personas y números; relaciones con partes interesadas,
clientes, proveedores y otros; necesidades tecnológicas; y la
reestructuración organizacional requerida para lograr los

204
Gestión Construir, BAI01 Programas BAI01.04 Desarrollar y 3. Asegurar que haya una comunicación efectiva de los planes
adquirir e administrados mantener el plan del del programa y los informes de progreso entre todos los
implementar programa. proyectos y con el programa en general. Asegúrese de que
cualquier cambio realizado en los planes individuales se refleje
en los otros planes de programas empresariales.

Gestión Construir, BAI01 Programas BAI01.04 Desarrollar y 4. Mantener el plan del programa para garantizar que esté
adquirir e administrados mantener el plan del actualizado y refleje la alineación con los objetivos
implementar programa. estratégicos actuales, el progreso real y los cambios
materiales en los resultados, beneficios, costos y riesgos. Haga
que la empresa impulse los objetivos y priorice el trabajo en
todo momento para garantizar que el programa, tal como se
diseñó, cumpla con los requisitos de la empresa. Revise el
Gestión Construir, BAI01 Programas BAI01.04 Desarrollar y 5. A lo largo de la vida económica del programa, actualizar y
adquirir e administrados mantener el plan del mantener el caso de negocios y un registro de beneficios para
implementar programa. identificar y definir los beneficios clave que surgen de la
realización del programa.

Gestión Construir, BAI01 Programas BAI01.04 Desarrollar y 6. Preparar un presupuesto del programa que refleje los
adquirir e administrados mantener el plan del costos del ciclo de vida económico completo y los beneficios
implementar programa. financieros y no financieros asociados.

Gestión Construir, BAI01 Programas BAI01.05 Inicie y ejecute el 1. Planificar, dotar de recursos y encargar los proyectos
adquirir e administrados programa. necesarios para lograr los resultados del programa, en función
implementar de la revisión de financiamiento y las aprobaciones en cada
revisión de etapa inicial.

Gestión Construir, BAI01 Programas BAI01.05 Inicie y ejecute el 2. Administrar cada programa o proyecto para garantizar que
adquirir e administrados programa. las actividades de toma de decisiones y entrega se centren en
implementar el valor al lograr beneficios para el negocio y los objetivos de
manera consistente, abordar el riesgo y cumplir con los
requisitos de las partes interesadas.

205
Gestión Construir, BAI01 Programas BAI01.05 Inicie y ejecute el 3. Establecer etapas acordadas del proceso de desarrollo
adquirir e administrados programa. (puntos de control del desarrollo). Al final de cada etapa,
implementar facilite las discusiones formales de los criterios aprobados con
las partes interesadas. Después de completar con éxito las
revisiones de funcionalidad, rendimiento y calidad, y antes de
finalizar las actividades de la etapa, obtenga la aprobación
formal y la aprobación de todas las partes interesadas y el
Gestión Construir, BAI01 Programas BAI01.05 Inicie y ejecute el 4. Emprender un proceso de realización de beneficios a lo
adquirir e administrados programa. largo del programa para garantizar que los beneficios
implementar planeados siempre tengan propietarios y sea probable que se
logren, mantengan y optimicen. Supervise la entrega de
beneficios e informe contra los objetivos de rendimiento en la
etapa inicial o en las revisiones de iteración y lanzamiento.
Realice un análisis de la causa raíz de las desviaciones del plan
Gestión Construir, BAI01 Programas BAI01.05 Inicie y ejecute el 5. Planificar auditorías, revisiones de calidad, revisiones de
adquirir e administrados programa. fase/etapa y revisiones de beneficios obtenidos.
implementar

Gestión Construir, BAI01 Programas BAI01.06 Monitorear, controlar 1. Actualizar las carteras operativas de I&T para reflejar los
adquirir e administrados e informar sobre los cambios que resultan del programa en las carteras de
implementar resultados del servicios, activos o recursos de I&T relevantes.
programa.

Gestión Construir, BAI01 Programas BAI01.06 Monitorear, controlar 2. Monitorear y controlar el desempeño del programa general
adquirir e administrados e informar sobre los y los proyectos dentro del programa, incluidas las
implementar resultados del contribuciones del negocio y de TI a los proyectos. Informe de
programa. manera oportuna, completa y precisa. Los informes pueden
incluir el cronograma, la financiación, la funcionalidad, la
satisfacción del usuario, los controles internos y la aceptación
de responsabilidades.
Gestión Construir, BAI01 Programas BAI01.06 Monitorear, controlar 3. Supervisar y controlar el rendimiento frente a las
adquirir e administrados e informar sobre los estrategias y objetivos de la empresa y de I&T. Informar a la
implementar resultados del gerencia sobre los cambios empresariales implementados, los
programa. beneficios realizados contra el plan de realización de
beneficios y la adecuación del proceso de realización de
beneficios.

206
Gestión Construir, BAI01 Programas BAI01.06 Monitorear, controlar 4. Monitorear y controlar los servicios, activos y recursos de TI
adquirir e administrados e informar sobre los creados o modificados como resultado del programa. Tenga
implementar resultados del en cuenta las fechas de implementación y puesta en servicio.
programa. Informar a la gerencia sobre los niveles de rendimiento, la
prestación sostenida de servicios y la contribución al valor.

Gestión Construir, BAI01 Programas BAI01.06 Monitorear, controlar 5. Administrar el desempeño del programa contra criterios
adquirir e administrados e informar sobre los clave (p. ej., alcance, cronograma, calidad, realización de
implementar resultados del beneficios, costos, riesgo, velocidad), identificar desviaciones
programa. del plan y tomar medidas correctivas oportunas cuando sea
necesario.

Gestión Construir, BAI01 Programas BAI01.06 Monitorear, controlar 6. Supervisar el desempeño de proyectos individuales en
adquirir e administrados e informar sobre los relación con la entrega de las capacidades esperadas,
implementar resultados del cronograma, realización de beneficios, costos, riesgos u otras
programa. métricas. Identifique los impactos potenciales en el
desempeño del programa y tome medidas correctivas
oportunas cuando sea necesario.
Gestión Construir, BAI01 Programas BAI01.06 Monitorear, controlar 7. De acuerdo con los criterios de revisión de etapa, liberación
adquirir e administrados e informar sobre los o iteración, realizar revisiones para informar sobre el progreso
implementar resultados del del programa de modo que la gerencia pueda tomar
programa. decisiones de si/no continuar o de ajuste y aprobar
financiamiento adicional hasta la siguiente etapa. lanzamiento
o iteración.
Gestión Construir, BAI01 Programas BAI01.07 Gestionar la calidad 1. Identificar las tareas y prácticas de aseguramiento
adquirir e administrados del programa. requeridas para respaldar la acreditación de sistemas nuevos
implementar o modificados durante la planificación del programa e
incluirlas en los planes integrados. Asegúrese de que las tareas
garanticen que los controles internos y las soluciones de
seguridad/privacidad cumplan con los requisitos definidos.
Gestión Construir, BAI01 Programas BAI01.07 Gestionar la calidad 2. Proporcionar garantía de calidad para los entregables del
adquirir e administrados del programa. programa, identificar propiedad y responsabilidades, procesos
implementar de revisión de calidad, criterios de éxito y métricas de
desempeño.

207
Gestión Construir, BAI01 Programas BAI01.07 Gestionar la calidad 3. Definir cualquier requisito para la validación y verificación
adquirir e administrados del programa. independiente de la calidad de los entregables en el plan.
implementar

Gestión Construir, BAI01 Programas BAI01.07 Gestionar la calidad 4. Realizar actividades de aseguramiento y control de la
adquirir e administrados del programa. calidad de acuerdo con el plan de gestión de la calidad y el
implementar SGC.

Gestión Construir, BAI01 Programas BAI01.08 Gestionar el riesgo del 1. Establecer un enfoque formal de gestión de riesgos
adquirir e administrados programa. alineado con el marco de gestión de riesgos empresariales
implementar (ERM). Asegúrese de que el enfoque incluya la identificación,
el análisis, la respuesta, la mitigación, el seguimiento y el
control del riesgo.

Gestión Construir, BAI01 Programas BAI01.08 Gestionar el riesgo del 2. Asignar al personal debidamente capacitado la
adquirir e administrados programa. responsabilidad de ejecutar el proceso de gestión de riesgos
implementar de la empresa dentro de un programa y garantizar que esto se
incorpore a las prácticas de desarrollo de soluciones.
Considere asignar esta función a un equipo independiente,
especialmente si se requiere un punto de vista objetivo o si un
programa se considera crítico.
Gestión Construir, BAI01 Programas BAI01.08 Gestionar el riesgo del 3. Realizar la evaluación de riesgos de identificar y cuantificar
adquirir e administrados programa. el riesgo continuamente a lo largo del programa. Gestionar y
implementar comunicar el riesgo adecuadamente dentro de la estructura
de gobierno del programa.

Gestión Construir, BAI01 Programas BAI01.08 Gestionar el riesgo del 4. Identificar los propietarios de las acciones para evitar,
adquirir e administrados programa. aceptar o mitigar el riesgo.
implementar

208
Gestión Construir, BAI01 Programas BAI01.09 Cierra un programa. 1. Llevar el programa a un cierre ordenado, incluida la
adquirir e administrados aprobación formal, la disolución de la organización del
implementar programa y la función de apoyo, la validación de los
entregables y la comunicación de la jubilación.

Gestión Construir, BAI01 Programas BAI01.09 Cierra un programa. 2. Revisar y documentar las lecciones aprendidas. Una vez
adquirir e administrados que se retira el programa, elimínelo de la cartera de
implementar inversiones activa. Traslade cualquier capacidad resultante a
una cartera de activos operativos para garantizar que se siga
creando y manteniendo valor.

Gestión Construir, BAI01 Programas BAI01.09 Cierra un programa. 3. Implementar responsabilidades y procesos para garantizar
adquirir e administrados que la empresa continúe optimizando el valor del servicio,
implementar activo o recursos. Es posible que se requieran inversiones
adicionales en algún momento futuro para garantizar que esto
suceda.

Gestión Construir, BAI02 Definición de BAI02.01 Definir y mantener los 1. Garantizar que todos los requisitos de las partes
adquirir e requisitos requisitos funcionales interesadas, incluidos los criterios de aceptación relevantes,
implementar gestionados y técnicos del se consideren, capturen, prioricen y registren de una manera
negocio. que sea comprensible para todas las partes interesadas,
reconociendo que los requisitos pueden cambiar y se volverán
más detallados a medida que se implementen.
Gestión Construir, BAI02 Definición de BAI02.01 Definir y mantener los 2. Expresar los requisitos comerciales en términos de cómo
adquirir e requisitos requisitos funcionales debe abordarse la brecha entre las capacidades comerciales
implementar gestionados y técnicos del actuales y deseadas y cómo el usuario (empleado, cliente,
negocio. etc.) interactuará con la solución y la utilizará.

Gestión Construir, BAI02 Definición de BAI02.01 Definir y mantener los 3. Especificar y priorizar los requisitos de información,
adquirir e requisitos requisitos funcionales funcionales y técnicos, con base en el diseño de la experiencia
implementar gestionados y técnicos del del usuario y los requisitos confirmados de las partes
negocio. interesadas.

209
Gestión Construir, BAI02 Definición de BAI02.01 Definir y mantener los 4. Garantizar que los requisitos cumplan con las políticas y
adquirir e requisitos requisitos funcionales estándares empresariales, la arquitectura empresarial, los
implementar gestionados y técnicos del planes estratégicos y tácticos de I&T, los procesos comerciales
negocio. y de TI internos y subcontratados, los requisitos de seguridad,
los requisitos reglamentarios, las competencias de las
personas, la estructura organizacional, el caso comercial y la
tecnología habilitadora.
Gestión Construir, BAI02 Definición de BAI02.01 Definir y mantener los 5. Incluir requisitos de control de la información en los
adquirir e requisitos requisitos funcionales procesos comerciales, procesos automatizados y entornos de
implementar gestionados y técnicos del I&T para abordar el riesgo de la información y cumplir con las
negocio. leyes, reglamentos y contratos comerciales.

Gestión Construir, BAI02 Definición de BAI02.01 Definir y mantener los 6. Confirmar la aceptación de los aspectos clave de los
adquirir e requisitos requisitos funcionales requisitos, incluidas las reglas empresariales, la experiencia
implementar gestionados y técnicos del del usuario, los controles de información, la continuidad del
negocio. negocio, el cumplimiento legal y normativo, la auditabilidad, la
ergonomía, la operatividad y el uso, la seguridad, la
confidencialidad y la documentación de respaldo.
Gestión Construir, BAI02 Definición de BAI02.01 Definir y mantener los 7. Seguimiento y control del alcance, los requisitos y los
adquirir e requisitos requisitos funcionales cambios a lo largo del ciclo de vida de la solución a medida
implementar gestionados y técnicos del que evoluciona la comprensión de la solución.
negocio.

Gestión Construir, BAI02 Definición de BAI02.01 Definir y mantener los 8. Definir e implementar un procedimiento de definición y
adquirir e requisitos requisitos funcionales mantenimiento de requisitos y un repositorio de requisitos
implementar gestionados y técnicos del que sean apropiados para el tamaño, la complejidad, los
negocio. objetivos y el riesgo de la iniciativa que la empresa está
considerando emprender.

Gestión Construir, BAI02 Definición de BAI02.01 Definir y mantener los 9. Validar todos los requisitos a través de enfoques como la
adquirir e requisitos requisitos funcionales revisión por pares, la validación de modelos o la creación de
implementar gestionados y técnicos del prototipos operativos.
negocio.

210
Gestión Construir, BAI02 Definición de BAI02.02 Realizar un estudio de 1. Identificar las acciones requeridas para la adquisición o
adquirir e requisitos factibilidad y formular desarrollo de soluciones basadas en la arquitectura
implementar gestionados alternativas de empresarial. Tener en cuenta el alcance y/o las limitaciones
solución. de tiempo y/o presupuesto.

Gestión Construir, BAI02 Definición de BAI02.02 Realizar un estudio de 2. Revisar las soluciones alternativas con todas las partes
adquirir e requisitos factibilidad y formular interesadas. Seleccione el más apropiado en función de los
implementar gestionados alternativas de criterios de viabilidad, incluido el riesgo y el costo.
solución.

Gestión Construir, BAI02 Definición de BAI02.02 Realizar un estudio de 3. Traducir el curso de acción preferido en un plan de
adquirir e requisitos factibilidad y formular adquisición/desarrollo de alto nivel que identifique los
implementar gestionados alternativas de recursos que se utilizarán y las etapas que requieren una
solución. decisión de continuar o no.

Gestión Construir, BAI02 Definición de BAI02.02 Realizar un estudio de 4. Definir y ejecutar un estudio de factibilidad, piloto o
adquirir e requisitos factibilidad y formular solución básica de trabajo que describa de manera clara y
implementar gestionados alternativas de concisa las soluciones alternativas y mida cómo estas
solución. satisfarían los requisitos funcionales y del negocio. Incluir una
evaluación de su viabilidad tecnológica y económica.

Gestión Construir, BAI02 Definición de BAI02.03 Gestionar el riesgo de 1. Identificar el riesgo de requisitos técnicos, funcionales y de
adquirir e requisitos requisitos. calidad (debido, por ejemplo, a la falta de participación del
implementar gestionados usuario, expectativas poco realistas, desarrolladores que
agregan funcionalidades innecesarias, suposiciones poco
realistas, etc.).

Gestión Construir, BAI02 Definición de BAI02.03 Gestionar el riesgo de 2. Determinar la respuesta de riesgo adecuada al riesgo de
adquirir e requisitos requisitos. requisitos.
implementar gestionados

211
Gestión Construir, BAI02 Definición de BAI02.03 Gestionar el riesgo de 3. Analizar el riesgo identificado estimando la probabilidad y el
adquirir e requisitos requisitos. impacto en el presupuesto y el cronograma. Evaluar el
implementar gestionados impacto presupuestario de las acciones apropiadas de
respuesta al riesgo.

Gestión Construir, BAI02 Definición de BAI02.04 Obtener la 1. Asegúrese de que el patrocinador comercial o propietario
adquirir e requisitos aprobación de del producto haga la elección final de la solución, el enfoque
implementar gestionados requisitos y de adquisición y el diseño de alto nivel, de acuerdo con el caso
soluciones. comercial. Obtenga las aprobaciones necesarias de las partes
interesadas afectadas (p. ej., propietario del proceso
comercial, arquitecto empresarial, gerente de operaciones,
oficial de seguridad y privacidad).
Gestión Construir, BAI02 Definición de BAI02.04 Obtener la 2. Obtener revisiones de calidad a lo largo y al final de cada
adquirir e requisitos aprobación de etapa, iteración o lanzamiento clave del proyecto. Evaluar los
implementar gestionados requisitos y resultados contra los criterios de aceptación originales. Haga
soluciones. que los patrocinadores comerciales y otras partes interesadas
firmen cada revisión de calidad exitosa.

Gestión Construir, BAI03 Identificación y BAI03.01 Diseñar soluciones de 1. Establecer una especificación de diseño de alto nivel que
adquirir e creación de alto nivel. traduzca la solución propuesta en un diseño de alto nivel para
implementar soluciones procesos comerciales, servicios de soporte, flujos de trabajo,
administradas aplicaciones, infraestructura y depósitos de información
capaces de cumplir con los requisitos de la arquitectura
comercial y empresarial.
Gestión Construir, BAI03 Identificación y BAI03.01 Diseñar soluciones de 2. Involucrar a diseñadores de experiencia de usuario y
adquirir e creación de alto nivel. especialistas en TI debidamente calificados y experimentados
implementar soluciones en el proceso de diseño para asegurarse de que el diseño
administradas proporcione una solución que utilice de manera óptima las
capacidades de I&T propuestas para mejorar el proceso
comercial.
Gestión Construir, BAI03 Identificación y BAI03.01 Diseñar soluciones de 3. Crear un diseño que cumpla con los estándares de diseño
adquirir e creación de alto nivel. de la organización. Asegúrese de que mantiene un nivel de
implementar soluciones detalle que sea apropiado para la solución y el método de
administradas desarrollo y que sea consistente con las estrategias
comerciales, empresariales y de I&T, la arquitectura
empresarial, el plan de seguridad/privacidad y las leyes,
regulaciones y contratos aplicables.

212
Gestión Construir, BAI03 Identificación y BAI03.01 Diseñar soluciones de 4. Después de la aprobación del control de calidad, envíe el
adquirir e creación de alto nivel. diseño final de alto nivel a las partes interesadas del proyecto
implementar soluciones y al patrocinador/propietario del proceso comercial para su
administradas aprobación según los criterios acordados. Este diseño
evolucionará a lo largo del proyecto a medida que crezca la
comprensión.
Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 1. Diseñar progresivamente las actividades del proceso
adquirir e creación de de solución comercial y los flujos de trabajo que deben realizarse junto
implementar soluciones detallados. con el nuevo sistema de aplicación para cumplir con los
administradas objetivos de la empresa, incluido el diseño de las actividades
de control manual.

Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 2. Diseñar los pasos de procesamiento de la solicitud. Estos
adquirir e creación de de solución pasos incluyen la especificación de tipos de transacciones y
implementar soluciones detallados. reglas de procesamiento comercial, controles automatizados,
administradas definiciones de datos/objetos comerciales, casos de uso,
interfaces externas, restricciones de diseño y otros requisitos
(por ejemplo, licencias, legal, estándares e
internacionalización/localización).
Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 3. Clasificar las entradas y salidas de datos de acuerdo con los
adquirir e creación de de solución estándares de arquitectura empresarial. Especifique el diseño
implementar soluciones detallados. de recopilación de datos de origen. Documente las entradas
administradas de datos (independientemente de la fuente) y la validación
para el procesamiento de transacciones, así como los métodos
de validación. Diseñar los productos identificados, incluidas las
fuentes de datos.
Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 4. Diseñar la interfaz del sistema/solución, incluido cualquier
adquirir e creación de de solución intercambio de datos automatizado.
implementar soluciones detallados.
administradas

Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 5. Diseño de almacenamiento de datos, ubicación,
adquirir e creación de de solución recuperación y recuperabilidad.
implementar soluciones detallados.
administradas

213
Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 6. Diseñar redundancia, recuperación y respaldo adecuados.
adquirir e creación de de solución
implementar soluciones detallados.
administradas

Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 7. Diseñar la interfaz entre el usuario y la aplicación del
adquirir e creación de de solución sistema para que sea fácil de usar y autodocumentada.
implementar soluciones detallados.
administradas

Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 8. Considere el impacto de la necesidad de la solución para el
adquirir e creación de de solución rendimiento de la infraestructura, teniendo en cuenta la
implementar soluciones detallados. cantidad de activos informáticos, la intensidad del ancho de
administradas banda y la sensibilidad temporal de la información.

Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 9. Evaluar proactivamente las debilidades del diseño (p. ej.,
adquirir e creación de de solución inconsistencias, falta de claridad, fallas potenciales) a lo largo
implementar soluciones detallados. del ciclo de vida. Identificar mejoras cuando sea necesario.
administradas

Gestión Construir, BAI03 Identificación y BAI03.02 Diseñar componentes 10. Proporcionar la capacidad de auditar transacciones e
adquirir e creación de de solución identificar las causas fundamentales de los errores de
implementar soluciones detallados. procesamiento.
administradas

Gestión Construir, BAI03 Identificación y BAI03.03 Desarrollar 1. Dentro de un ambiente separado, desarrollar el diseño
adquirir e creación de componentes de la detallado propuesto para procesos de negocios, servicios de
implementar soluciones solución. soporte, aplicaciones, infraestructura y repositorios de
administradas información.

214
Gestión Construir, BAI03 Identificación y BAI03.03 Desarrollar 2. Cuando los proveedores externos estén involucrados en el
adquirir e creación de componentes de la desarrollo de la solución, asegúrese de que el mantenimiento,
implementar soluciones solución. el soporte, los estándares de desarrollo y las licencias se
administradas aborden y respeten en las obligaciones contractuales.

Gestión Construir, BAI03 Identificación y BAI03.03 Desarrollar 3. Realice un seguimiento de las solicitudes de cambio y las
adquirir e creación de componentes de la revisiones de diseño, rendimiento y calidad. Garantizar la
implementar soluciones solución. participación activa de todas las partes interesadas afectadas.
administradas

Gestión Construir, BAI03 Identificación y BAI03.03 Desarrollar 4. Documentar todos los componentes de la solución de
adquirir e creación de componentes de la acuerdo con los estándares definidos. Mantenga el control de
implementar soluciones solución. versiones sobre todos los componentes desarrollados y la
administradas documentación asociada.

Gestión Construir, BAI03 Identificación y BAI03.03 Desarrollar 5. Evaluar el impacto de la personalización y configuración de
adquirir e creación de componentes de la la solución en el rendimiento y la eficiencia de las soluciones
implementar soluciones solución. adquiridas y en la interoperabilidad con aplicaciones, sistemas
administradas operativos y otra infraestructura existentes. Adapte los
procesos comerciales según sea necesario para aprovechar la
capacidad de la aplicación.
Gestión Construir, BAI03 Identificación y BAI03.03 Desarrollar 6. Garantizar que las responsabilidades por el uso de
adquirir e creación de componentes de la componentes de infraestructura de acceso restringido o de
implementar soluciones solución. alta seguridad estén claramente definidas y entendidas por
administradas quienes desarrollan e integran componentes de
infraestructura. Su uso debe ser monitoreado y evaluado.

Gestión Construir, BAI03 Identificación y BAI03.04 Adquirir 1. Crear y mantener un plan para la adquisición de
adquirir e creación de componentes de la componentes de la solución. Considere la flexibilidad futura
implementar soluciones solución. para las adiciones de capacidad, los costos de transición, el
administradas riesgo y las actualizaciones durante la vida útil del proyecto.

215
Gestión Construir, BAI03 Identificación y BAI03.04 Adquirir 2. Revisar y aprobar todos los planes de adquisición.
adquirir e creación de componentes de la Considere el riesgo, los costos, los beneficios y la conformidad
implementar soluciones solución. técnica con los estándares de arquitectura empresarial.
administradas

Gestión Construir, BAI03 Identificación y BAI03.04 Adquirir 3. Evaluar y documentar el grado en que las soluciones
adquirir e creación de componentes de la adquiridas requieren la adaptación del proceso comercial para
implementar soluciones solución. aprovechar los beneficios de la solución adquirida.
administradas

Gestión Construir, BAI03 Identificación y BAI03.04 Adquirir 4. Siga las aprobaciones requeridas en los puntos de decisión
adquirir e creación de componentes de la clave durante los procesos de adquisición.
implementar soluciones solución.
administradas

Gestión Construir, BAI03 Identificación y BAI03.04 Adquirir 5. Registre la recepción de todas las adquisiciones de
adquirir e creación de componentes de la infraestructura y software en un inventario de activos.
implementar soluciones solución.
administradas

Gestión Construir, BAI03 Identificación y BAI03.05 Construir soluciones. 1. Integrar y configurar los componentes de la solución
adquirir e creación de empresarial y de TI y los repositorios de información de
implementar soluciones acuerdo con las especificaciones detalladas y los requisitos de
administradas calidad. Considere el rol de los usuarios, las partes interesadas
del negocio y el propietario del proceso en la configuración de
los procesos comerciales.
Gestión Construir, BAI03 Identificación y BAI03.05 Construir soluciones. 2. Completar y actualizar los procesos comerciales y los
adquirir e creación de manuales operativos, cuando sea necesario, para dar cuenta
implementar soluciones de cualquier personalización o condiciones especiales únicas
administradas para la implementación.

216
Gestión Construir, BAI03 Identificación y BAI03.05 Construir soluciones. 3. Considere todos los requisitos de control de información
adquirir e creación de relevantes en la integración y configuración de los
implementar soluciones componentes de la solución. Incluir la implementación de
administradas controles comerciales, cuando corresponda, en controles de
aplicaciones automatizados, de modo que el procesamiento
sea preciso, completo, oportuno, autorizado y auditable.
Gestión Construir, BAI03 Identificación y BAI03.05 Construir soluciones. 4. Implementar pistas de auditoría durante la configuración e
adquirir e creación de integración del hardware y el software de infraestructura para
implementar soluciones proteger los recursos y garantizar la disponibilidad y la
administradas integridad.

Gestión Construir, BAI03 Identificación y BAI03.05 Construir soluciones. 5. Considere cuándo el efecto de las personalizaciones y
adquirir e creación de configuraciones acumulativas (incluidos los cambios menores
implementar soluciones que no estuvieron sujetos a especificaciones de diseño
administradas formales) requiere una reevaluación de alto nivel de la
solución y la funcionalidad asociada.

Gestión Construir, BAI03 Identificación y BAI03.05 Construir soluciones. 6. Configure el software de aplicación adquirido para cumplir
adquirir e creación de con los requisitos de procesamiento comercial.
implementar soluciones
administradas

Gestión Construir, BAI03 Identificación y BAI03.05 Construir soluciones. 7. Definir catálogos de productos y servicios para grupos
adquirir e creación de objetivo internos y externos relevantes, en función de los
implementar soluciones requisitos comerciales.
administradas

Gestión Construir, BAI03 Identificación y BAI03.05 Construir soluciones. 8. Asegurar la interoperabilidad de los componentes de la
adquirir e creación de solución con pruebas de soporte, preferiblemente
implementar soluciones automatizadas.
administradas

217
Gestión Construir, BAI03 Identificación y BAI03.06 Realizar el 1. Definir un plan y prácticas de control de calidad que
adquirir e creación de aseguramiento de la incluyan, por ejemplo, la especificación de criterios de calidad,
implementar soluciones calidad (QA). procesos de validación y verificación, la definición de cómo se
administradas revisará la calidad, las calificaciones necesarias de los
revisores de calidad y las funciones y responsabilidades para
lograr la calidad.
Gestión Construir, BAI03 Identificación y BAI03.06 Realizar el 2. Supervise con frecuencia la calidad de la solución en
adquirir e creación de aseguramiento de la función de los requisitos del proyecto, las políticas
implementar soluciones calidad (QA). empresariales, el cumplimiento de las metodologías de
administradas desarrollo, los procedimientos de gestión de calidad y los
criterios de aceptación.

Gestión Construir, BAI03 Identificación y BAI03.06 Realizar el 3. Emplear, según corresponda, inspección de código,
adquirir e creación de aseguramiento de la prácticas de desarrollo basadas en pruebas, pruebas
implementar soluciones calidad (QA). automatizadas, integración continua, recorridos y pruebas de
administradas aplicaciones. Informar sobre los resultados del proceso de
monitoreo y prueba al equipo de desarrollo de software de
aplicación y a la gerencia de TI.
Gestión Construir, BAI03 Identificación y BAI03.06 Realizar el 4. Monitorear todas las excepciones de calidad y abordar
adquirir e creación de aseguramiento de la todas las acciones correctivas. Mantener un registro de todas
implementar soluciones calidad (QA). las revisiones, resultados, excepciones y correcciones. Repita
administradas las revisiones de calidad, cuando corresponda, en función de
la cantidad de reelaboración y acción correctiva.

Gestión Construir, BAI03 Identificación y BAI03.07 Prepárese para la 1. Crear un plan de prueba integrado y prácticas acordes con
adquirir e creación de prueba de la solución. el entorno empresarial y los planes tecnológicos estratégicos.
implementar soluciones Asegúrese de que el plan y las prácticas de prueba integradas
administradas permitan la creación de entornos de prueba y simulación
adecuados para ayudar a verificar que la solución funcione
correctamente en el entorno real y entregue los resultados
previstos y que los controles sean adecuados.
Gestión Construir, BAI03 Identificación y BAI03.07 Prepárese para la 2. Cree un entorno de prueba que admita todo el alcance de
adquirir e creación de prueba de la solución. la solución. Asegúrese de que el entorno de prueba refleje, lo
implementar soluciones más fielmente posible, las condiciones del mundo real,
administradas incluidos los procesos y procedimientos comerciales, la
variedad de usuarios, los tipos de transacciones y las
condiciones de implementación.

218
Gestión Construir, BAI03 Identificación y BAI03.07 Prepárese para la 3. Cree procedimientos de prueba que se alineen con el plan y
adquirir e creación de prueba de la solución. las prácticas y permitan la evaluación del funcionamiento de
implementar soluciones la solución en condiciones reales. Asegúrese de que los
administradas procedimientos de prueba evalúen la idoneidad de los
controles, según los estándares de toda la empresa que
definen roles, responsabilidades y criterios de prueba, y que
sean aprobados por las partes interesadas del proyecto y el
Gestión Construir, BAI03 Identificación y BAI03.07 Prepárese para la 4. Documentar y guardar los procedimientos de prueba, casos,
adquirir e creación de prueba de la solución. controles y parámetros para futuras pruebas de la aplicación.
implementar soluciones
administradas

Gestión Construir, BAI03 Identificación y BAI03.08 Ejecutar pruebas de 1. Realizar pruebas de soluciones y sus componentes de
adquirir e creación de solución. acuerdo con el plan de pruebas. Incluya probadores
implementar soluciones independientes del equipo de la solución, con propietarios de
administradas procesos de negocios representativos y usuarios finales.
Asegúrese de que las pruebas se realicen solo dentro de los
entornos de desarrollo y prueba.
Gestión Construir, BAI03 Identificación y BAI03.08 Ejecutar pruebas de 2. Use instrucciones de prueba claramente definidas, como se
adquirir e creación de solución. define en el plan de prueba. Considere el equilibrio apropiado
implementar soluciones entre las pruebas automatizadas con guiones y las pruebas
administradas interactivas de usuarios.

Gestión Construir, BAI03 Identificación y BAI03.08 Ejecutar pruebas de 3. Realizar todas las pruebas de acuerdo con el plan y las
adquirir e creación de solución. prácticas de prueba. Incluya la integración de los procesos
implementar soluciones comerciales y los componentes de la solución de TI y de los
administradas requisitos no funcionales (por ejemplo, seguridad, privacidad,
interoperabilidad, facilidad de uso).

Gestión Construir, BAI03 Identificación y BAI03.08 Ejecutar pruebas de 4. Identificar, registrar y clasificar (p. ej., errores menores,
adquirir e creación de solución. significativos y de misión crítica) durante las pruebas. Repita
implementar soluciones las pruebas hasta que se hayan resuelto todos los errores
administradas significativos. Asegúrese de que se mantenga un registro de
auditoría de los resultados de las pruebas.

219
Gestión Construir, BAI03 Identificación y BAI03.08 Ejecutar pruebas de 5. Registrar los resultados de las pruebas y comunicar los
adquirir e creación de solución. resultados de las pruebas a las partes interesadas de acuerdo
implementar soluciones con el plan de pruebas.
administradas

Gestión Construir, BAI03 Identificación y BAI03.09 Gestionar los cambios 1. Evaluar el impacto de todas las solicitudes de cambio de
adquirir e creación de en los requisitos. solución en el desarrollo de la solución, el caso de negocio
implementar soluciones original y el presupuesto. Clasificarlos y priorizarlos en
administradas consecuencia.

Gestión Construir, BAI03 Identificación y BAI03.09 Gestionar los cambios 2. Realizar un seguimiento de los cambios en los requisitos, lo
adquirir e creación de en los requisitos. que permite que todas las partes interesadas supervisen,
implementar soluciones revisen y aprueben los cambios. Asegúrese de que los
administradas resultados del proceso de cambio sean completamente
comprendidos y aceptados por todas las partes interesadas y
el patrocinador/propietario del proceso comercial.
Gestión Construir, BAI03 Identificación y BAI03.09 Gestionar los cambios 3. Aplicar solicitudes de cambio, manteniendo la integridad de
adquirir e creación de en los requisitos. integración y configuración de los componentes de la
implementar soluciones solución. Evalúe el impacto de cualquier actualización
administradas importante de la solución y clasifíquela de acuerdo con los
criterios objetivos acordados (como los requisitos de la
empresa), según el resultado del análisis del riesgo
involucrado (como el impacto en los sistemas y procesos
Gestión Construir, BAI03 Identificación y BAI03.10 Mantener soluciones. 1. Desarrollar y ejecutar un plan para el mantenimiento de los
adquirir e creación de componentes de la solución. Incluya revisiones periódicas de
implementar soluciones las necesidades comerciales y los requisitos operativos, como
administradas la gestión de parches, las estrategias de actualización, el
riesgo, la privacidad, la evaluación de vulnerabilidades y los
requisitos de seguridad.
Gestión Construir, BAI03 Identificación y BAI03.10 Mantener soluciones. 2. Evaluar la importancia de una actividad de mantenimiento
adquirir e creación de propuesta en el diseño, la funcionalidad y/o los procesos
implementar soluciones comerciales de la solución actual. Considere el riesgo, el
administradas impacto del usuario y la disponibilidad de recursos. Asegúrese
de que los propietarios de los procesos comerciales
comprendan el efecto de designar los cambios como
mantenimiento.

220
Gestión Construir, BAI03 Identificación y BAI03.10 Mantener soluciones. 3. En caso de que se produzcan cambios importantes en las
adquirir e creación de soluciones existentes que resulten en cambios significativos
implementar soluciones en los diseños y/o la funcionalidad y/o los procesos
administradas comerciales actuales, siga el proceso de desarrollo utilizado
para los nuevos sistemas. Para actualizaciones de
mantenimiento, utilice el proceso de gestión de cambios.
Gestión Construir, BAI03 Identificación y BAI03.10 Mantener soluciones. 4. Asegúrese de que el patrón y el volumen de las actividades
adquirir e creación de de mantenimiento se analicen periódicamente en busca de
implementar soluciones tendencias anormales que indiquen problemas subyacentes
administradas de calidad o rendimiento, costo/beneficio de una
actualización importante o reemplazo en lugar de
mantenimiento.
Gestión Construir, BAI03 Identificación y BAI03.11 Definir productos y 1. Proponer definiciones de los productos y servicios de TI
adquirir e creación de servicios de TI y nuevos o modificados para garantizar que se ajusten a su
implementar soluciones mantener la cartera propósito. Documentar las definiciones propuestas en la lista
administradas de servicios. del portafolio de productos y servicios a desarrollar.

Gestión Construir, BAI03 Identificación y BAI03.11 Definir productos y 2. Proponer opciones de nivel de servicio nuevas o
adquirir e creación de servicios de TI y modificadas (tiempos de servicio, satisfacción del usuario,
implementar soluciones mantener la cartera disponibilidad, rendimiento, capacidad, seguridad, privacidad,
administradas de servicios. continuidad, cumplimiento y facilidad de uso) para garantizar
que los productos y servicios de TI sean aptos para su uso.
Documentar las opciones de servicio propuestas en el
portafolio.
Gestión Construir, BAI03 Identificación y BAI03.11 Definir productos y 3. Interfaz con la gestión de relaciones comerciales y la
adquirir e creación de servicios de TI y gestión de cartera para acordar las definiciones de productos
implementar soluciones mantener la cartera y servicios propuestos y las opciones de nivel de servicio.
administradas de servicios.

Gestión Construir, BAI03 Identificación y BAI03.11 Definir productos y 4. Si el cambio de producto o servicio cae dentro de la
adquirir e creación de servicios de TI y autoridad de aprobación acordada, cree los productos y
implementar soluciones mantener la cartera servicios de TI nuevos o modificados o las opciones de nivel de
administradas de servicios. servicio. De lo contrario, pase el cambio a la gestión de cartera
para la revisión de la inversión.

221
Gestión Construir, BAI03 Identificación y BAI03.12 Diseñar soluciones en 1. Analizar y evaluar el impacto de elegir una metodología de
adquirir e creación de base a la metodología desarrollo (es decir, cascada, Agile, bimodal) en los recursos
implementar soluciones de desarrollo disponibles, requisitos de arquitectura, ajustes de
administradas definida. configuración y rigidez del sistema.

Gestión Construir, BAI03 Identificación y BAI03.12 Diseñar soluciones en 2. Establecer la metodología de desarrollo y el enfoque
adquirir e creación de base a la metodología organizacional adecuados que entreguen la solución
implementar soluciones de desarrollo propuesta de manera eficiente y efectiva y que sea capaz de
administradas definida. cumplir con los requisitos del sistema, la arquitectura y el
negocio. Adaptar los procesos según se requiera a la
estrategia elegida.
Gestión Construir, BAI03 Identificación y BAI03.12 Diseñar soluciones en 3. Establecer los equipos de proyecto necesarios según lo
adquirir e creación de base a la metodología definido por la metodología de desarrollo elegida.
implementar soluciones de desarrollo Proporcionar suficiente formación.
administradas definida.

Gestión Construir, BAI03 Identificación y BAI03.12 Diseñar soluciones en4. Considere la posibilidad de aplicar un sistema dual, si es
adquirir e creación de base a la metodologíanecesario, en el que los grupos multifuncionales (fábricas
implementar soluciones de desarrollo digitales) se centren en desarrollar un producto o proceso
administradas definida. utilizando una tecnología, una metodología operativa o de
gestión diferente a la del resto de la empresa. Integrar estos
grupos en unidades de negocio tiene la ventaja de difundir la
nueva cultura de desarrollo ágil y hacer que esta fábrica digital
Gestión Construir, BAI04 Disponibilidad y BAI04.01 Evalúe la 1. Considere lo siguiente (actual y pronosticado) en la
adquirir e capacidad disponibilidad, el evaluación de la disponibilidad, el rendimiento y la capacidad
implementar gestionadas rendimiento y la de los servicios y recursos: requisitos del cliente, prioridades
capacidad actuales y comerciales, objetivos comerciales, impacto presupuestario,
cree una línea base. utilización de recursos, capacidades de TI y tendencias de la
industria.
Gestión Construir, BAI04 Disponibilidad y BAI04.01 Evalúe la 2. Identificar y dar seguimiento a todos los incidentes
adquirir e capacidad disponibilidad, el causados por desempeño o capacidad inadecuados.
implementar gestionadas rendimiento y la
capacidad actuales y
cree una línea base.

222
Gestión Construir, BAI04 Disponibilidad y BAI04.01 Evalúe la 3. Supervisar el rendimiento real y el uso de la capacidad
adquirir e capacidad disponibilidad, el frente a los umbrales definidos, apoyado, cuando sea
implementar gestionadas rendimiento y la necesario, con software automatizado.
capacidad actuales y
cree una línea base.

Gestión Construir, BAI04 Disponibilidad y BAI04.01 Evalúe la 4. Evaluar regularmente los niveles actuales de rendimiento
adquirir e capacidad disponibilidad, el para todos los niveles de procesamiento (demanda comercial,
implementar gestionadas rendimiento y la capacidad de servicio y capacidad de recursos) comparándolos
capacidad actuales y con las tendencias y los SLA. Tener en cuenta los cambios en
cree una línea base. el entorno.

Gestión Construir, BAI04 Disponibilidad y BAI04.02 Evaluar el impacto 1. Identificar solo aquellas soluciones o servicios que son
adquirir e capacidad comercial. críticos en el proceso de gestión de disponibilidad y capacidad.
implementar gestionadas

Gestión Construir, BAI04 Disponibilidad y BAI04.02 Evaluar el impacto 2. Asignar las soluciones o servicios seleccionados a las
adquirir e capacidad comercial. aplicaciones y la infraestructura (TI e instalaciones) de las que
implementar gestionadas dependen para permitir un enfoque en los recursos críticos
para la planificación de la disponibilidad.

Gestión Construir, BAI04 Disponibilidad y BAI04.02 Evaluar el impacto 3. Recopile datos sobre patrones de disponibilidad a partir de
adquirir e capacidad comercial. registros de fallas pasadas y monitoreo del rendimiento.
implementar gestionadas Utilice herramientas de modelado que ayuden a predecir
fallas en función de las tendencias de uso pasadas y las
expectativas de gestión del nuevo entorno o las condiciones
del usuario.
Gestión Construir, BAI04 Disponibilidad y BAI04.02 Evaluar el impacto 4. Con base en los datos recopilados, cree escenarios que
adquirir e capacidad comercial. describan situaciones futuras de disponibilidad para ilustrar
implementar gestionadas una variedad de niveles de capacidad potenciales necesarios
para lograr el objetivo de rendimiento de disponibilidad.

223
Gestión Construir, BAI04 Disponibilidad y BAI04.02 Evaluar el impacto 5. Con base en los escenarios, determine la probabilidad de
adquirir e capacidad comercial. que no se logre el objetivo de rendimiento de disponibilidad.
implementar gestionadas

Gestión Construir, BAI04 Disponibilidad y BAI04.02 Evaluar el impacto 6. Determinar el impacto de los escenarios en las medidas de
adquirir e capacidad comercial. desempeño comercial (p. ej., ingresos, ganancias, servicios al
implementar gestionadas cliente). Involucrar a los líderes regionales, funcionales
(especialmente financieros) y de línea de negocios para
comprender su evaluación de impacto.

Gestión Construir, BAI04 Disponibilidad y BAI04.02 Evaluar el impacto 7. Asegúrese de que los propietarios de los procesos
adquirir e capacidad comercial. comerciales comprendan completamente y estén de acuerdo
implementar gestionadas con los resultados de este análisis. Obtenga de los dueños de
negocios una lista de escenarios de riesgo inaceptables que
requieren una respuesta para reducir el riesgo a niveles
aceptables.
Gestión Construir, BAI04 Disponibilidad y BAI04.03 Planifique los 1. Identificar las implicaciones de disponibilidad y capacidad
adquirir e capacidad requisitos de servicio de las necesidades comerciales cambiantes y las
implementar gestionadas nuevos o oportunidades de mejora. Utilice técnicas de modelado para
modificados. validar los planes de disponibilidad, rendimiento y capacidad.

Gestión Construir, BAI04 Disponibilidad y BAI04.03 Planifique los 2. Revisar las implicaciones de disponibilidad y capacidad del
adquirir e capacidad requisitos de servicio análisis de tendencias del servicio.
implementar gestionadas nuevos o
modificados.

Gestión Construir, BAI04 Disponibilidad y BAI04.03 Planifique los 3. Asegúrese de que la gerencia realice comparaciones de la
adquirir e capacidad requisitos de servicio demanda real de los recursos con la oferta y la demanda
implementar gestionadas nuevos o previstas para evaluar las técnicas de previsión actuales y
modificados. realizar mejoras cuando sea posible.

224
Gestión Construir, BAI04 Disponibilidad y BAI04.03 Planifique los 4. Priorizar las mejoras necesarias y crear planes de capacidad
adquirir e capacidad requisitos de servicio y disponibilidad justificables en función de los costos.
implementar gestionadas nuevos o
modificados.

Gestión Construir, BAI04 Disponibilidad y BAI04.03 Planifique los 5. Ajustar los planes de rendimiento y capacidad y los
adquirir e capacidad requisitos de servicio acuerdos de nivel de servicio en función de los procesos
implementar gestionadas nuevos o comerciales realistas, nuevos, propuestos y/o proyectados y
modificados. los servicios de soporte, las aplicaciones y los cambios de
infraestructura. Incluya también revisiones del rendimiento
real y el uso de la capacidad, incluidos los niveles de carga de
trabajo.
Gestión Construir, BAI04 Disponibilidad y BAI04.04 Supervisar y revisar la 1. Proporcionar informes de capacidad a los procesos de
adquirir e capacidad disponibilidad y la presupuestación.
implementar gestionadas capacidad.

Gestión Construir, BAI04 Disponibilidad y BAI04.04 Supervisar y revisar la 2. Establecer un proceso para recopilar datos para
adquirir e capacidad disponibilidad y la proporcionar a la gerencia información de monitoreo y
implementar gestionadas capacidad. generación de informes sobre la disponibilidad, el rendimiento
y la carga de trabajo de capacidad de todos los recursos
relacionados con I&T.

Gestión Construir, BAI04 Disponibilidad y BAI04.04 Supervisar y revisar la 3. Proporcionar informes periódicos de los resultados en un
adquirir e capacidad disponibilidad y la formato adecuado para su revisión por parte de la gerencia
implementar gestionadas capacidad. comercial y de TI y comunicación a la gerencia empresarial.

Gestión Construir, BAI04 Disponibilidad y BAI04.04 Supervisar y revisar la 4. Integrar las actividades de seguimiento y presentación de
adquirir e capacidad disponibilidad y la informes en las actividades iterativas de gestión de la
implementar gestionadas capacidad. capacidad (seguimiento, análisis, ajuste e implementaciones).

225
Gestión Construir, BAI04 Disponibilidad y BAI04.05 Investigue y aborde 1. Obtenga orientación de los manuales de productos de los
adquirir e capacidad los problemas de proveedores para garantizar un nivel adecuado de
implementar gestionadas disponibilidad, disponibilidad de rendimiento para el procesamiento y las
rendimiento y cargas de trabajo máximas.
capacidad.

Gestión Construir, BAI04 Disponibilidad y BAI04.05 Investigue y aborde 2. Definir un procedimiento de escalamiento para una
adquirir e capacidad los problemas de resolución rápida en caso de problemas de capacidad y
implementar gestionadas disponibilidad, rendimiento de emergencia.
rendimiento y
capacidad.

Gestión Construir, BAI04 Disponibilidad y BAI04.05 Investigue y aborde 3. Identificar las brechas de desempeño y capacidad con base
adquirir e capacidad los problemas de en el monitoreo del desempeño actual y pronosticado. Utilice
implementar gestionadas disponibilidad, las especificaciones conocidas de disponibilidad, continuidad y
rendimiento y recuperación para clasificar los recursos y permitir la
capacidad. priorización.

Gestión Construir, BAI04 Disponibilidad y BAI04.05 Investigue y aborde 4. Definir acciones correctivas (p. ej., cambiar la carga de
adquirir e capacidad los problemas de trabajo, priorizar tareas o agregar recursos cuando se
implementar gestionadas disponibilidad, identifiquen problemas de rendimiento y capacidad).
rendimiento y
capacidad.

Gestión Construir, BAI04 Disponibilidad y BAI04.05 Investigue y aborde 5. Integrar las acciones correctivas requeridas en los procesos
adquirir e capacidad los problemas de adecuados de planificación y gestión del cambio.
implementar gestionadas disponibilidad,
rendimiento y
capacidad.

Gestión Construir, BAI05 Cambio BAI05.01 Establecer el deseo de 1. Evaluar el alcance y el impacto del cambio previsto, las
adquirir e Organizacional cambiar. diversas partes interesadas que se ven afectadas, la
implementar Gestionado naturaleza del impacto y la participación requerida de cada
grupo de partes interesadas, y la preparación y capacidad
actuales para adoptar el cambio.

226
Gestión Construir, BAI05 Cambio BAI05.01 Establecer el deseo de 2. Establecer el deseo de cambiar, identificar, aprovechar y
adquirir e Organizacional cambiar. comunicar los puntos débiles actuales, los eventos negativos,
implementar Gestionado el riesgo, la insatisfacción del cliente y los problemas
comerciales, así como los beneficios iniciales, las
oportunidades y recompensas futuras y las ventajas
competitivas.
Gestión Construir, BAI05 Cambio BAI05.01 Establecer el deseo de 3. Emitir comunicados clave del comité ejecutivo o del
adquirir e Organizacional cambiar. director ejecutivo para demostrar el compromiso con el
implementar Gestionado cambio.

Gestión Construir, BAI05 Cambio BAI05.01 Establecer el deseo de 4. Proporcionar un liderazgo visible de la alta dirección para
adquirir e Organizacional cambiar. establecer la dirección y alinear, motivar e inspirar a las partes
implementar Gestionado interesadas a desear el cambio.

Gestión Construir, BAI05 Cambio BAI05.02 Formar un equipo de 1. Identificar y reunir un equipo central de implementación
adquirir e Organizacional implementación efectivo que incluya miembros apropiados de negocios y TI
implementar Gestionado efectivo. con la capacidad de dedicar la cantidad de tiempo requerida y
contribuir con conocimientos y experiencia, credibilidad y
autoridad. Considere incluir partes externas, como
consultores, para brindar una visión independiente o para
abordar las brechas de habilidades. Identifique agentes de
Gestión Construir, BAI05 Cambio BAI05.02 Formar un equipo de 2. Crear confianza dentro del equipo central de
adquirir e Organizacional implementación implementación a través de eventos cuidadosamente
implementar Gestionado efectivo. planeados con comunicación efectiva y actividades conjuntas.

Gestión Construir, BAI05 Cambio BAI05.02 Formar un equipo de 3. Desarrollar una visión y metas comunes que apoyen los
adquirir e Organizacional implementación objetivos de la empresa.
implementar Gestionado efectivo.

227
Gestión Construir, BAI05 Cambio BAI05.03 Comunicar la visión 1. Desarrollar un plan de comunicación de la visión para
adquirir e Organizacional deseada. abordar los grupos principales de audiencia, sus perfiles de
implementar Gestionado comportamiento y requisitos de información, canales de
comunicación y principios.

Gestión Construir, BAI05 Cambio BAI05.03 Comunicar la visión 2. Entregar la comunicación a los niveles apropiados de la
adquirir e Organizacional deseada. empresa, de acuerdo con el plan.
implementar Gestionado

Gestión Construir, BAI05 Cambio BAI05.03 Comunicar la visión 3. Reforzar la comunicación a través de múltiples foros y
adquirir e Organizacional deseada. repetición.
implementar Gestionado

Gestión Construir, BAI05 Cambio BAI05.03 Comunicar la visión 4. Hacer que todos los niveles de liderazgo sean responsables
adquirir e Organizacional deseada. de demostrar la visión.
implementar Gestionado

Gestión Construir, BAI05 Cambio BAI05.03 Comunicar la visión 5. Verificar la comprensión de la visión deseada y responder a
adquirir e Organizacional deseada. cualquier problema destacado por el personal.
implementar Gestionado

Gestión Construir, BAI05 Cambio BAI05.04 Empodere a los 1. Planifique las oportunidades de capacitación que el
adquirir e Organizacional actores e identifique personal necesitará para desarrollar las habilidades y
implementar Gestionado victorias a corto actitudes adecuadas para sentirse empoderado.
plazo.

228
Gestión Construir, BAI05 Cambio BAI05.04 Empodere a los 2. Identifique, priorice y brinde oportunidades para ganancias
adquirir e Organizacional actores e identifique rápidas. Estos podrían estar relacionados con áreas de
implementar Gestionado victorias a corto dificultad conocidas actuales o factores externos que deben
plazo. abordarse con urgencia.

Gestión Construir, BAI05 Cambio BAI05.04 Empodere a los 3. Aprovechar las ganancias rápidas entregadas al comunicar
adquirir e Organizacional actores e identifique los beneficios a los afectados para mostrar que la visión va por
implementar Gestionado victorias a corto buen camino. Afine la visión, mantenga a los líderes a bordo y
plazo. genere impulso.

Gestión Construir, BAI05 Cambio BAI05.04 Empodere a los 4. Identificar estructuras organizativas compatibles con la
adquirir e Organizacional actores e identifique visión; si es necesario, realice cambios para garantizar la
implementar Gestionado victorias a corto alineación.
plazo.

Gestión Construir, BAI05 Cambio BAI05.04 Empodere a los 5. Alinear los procesos de recursos humanos y los sistemas de
adquirir e Organizacional actores e identifique medición (p. ej., evaluación del desempeño, decisiones de
implementar Gestionado victorias a corto compensación, decisiones de promoción, reclutamiento y
plazo. contratación) para respaldar la visión.

Gestión Construir, BAI05 Cambio BAI05.04 Empodere a los 6. Identificar y gestionar líderes que continúan resistiéndose al
adquirir e Organizacional actores e identifique cambio necesario.
implementar Gestionado victorias a corto
plazo.

Gestión Construir, BAI05 Cambio BAI05.05 Habilitar la operación 1. Desarrollar un plan de operación y uso del cambio. El plan
adquirir e Organizacional y el uso. debe comunicar y basarse en ganancias rápidas realizadas,
implementar Gestionado abordar los aspectos culturales y de comportamiento de la
transición más amplia y aumentar la aceptación y el
compromiso. Asegúrese de que el plan cubra una visión
holística del cambio y proporcione documentación (p. ej.,
procedimientos), tutoría, capacitación, asesoramiento,

229
Gestión Construir, BAI05 Cambio BAI05.05 Habilitar la operación 2. Implementar el plan de operación y uso. Defina y realice un
adquirir e Organizacional y el uso. seguimiento de las medidas de éxito, incluidas las medidas
implementar Gestionado comerciales estrictas y las medidas de percepción que indican
cómo se siente la gente con respecto a un cambio. Tome
medidas correctivas según sea necesario.

Gestión Construir, BAI05 Cambio BAI05.06 Incorporar nuevos 1. Hacer que los propietarios de los procesos sean
adquirir e Organizacional enfoques. responsables de las operaciones diarias normales.
implementar Gestionado

Gestión Construir, BAI05 Cambio BAI05.06 Incorporar nuevos 2. Celebrar los éxitos e implementar programas de
adquirir e Organizacional enfoques. recompensas y reconocimientos para reforzar el cambio.
implementar Gestionado

Gestión Construir, BAI05 Cambio BAI05.06 Incorporar nuevos 3. Brindar conciencia continua a través de la comunicación
adquirir e Organizacional enfoques. periódica del cambio y su adopción.
implementar Gestionado

Gestión Construir, BAI05 Cambio BAI05.06 Incorporar nuevos 4. Utilice sistemas de medición del desempeño para identificar
adquirir e Organizacional enfoques. las causas fundamentales de la baja adopción. Tomar acción
implementar Gestionado correctiva.

Gestión Construir, BAI05 Cambio BAI05.06 Incorporar nuevos 5. Llevar a cabo auditorías de cumplimiento para identificar las
adquirir e Organizacional enfoques. causas fundamentales de la baja adopción. Recomendar
implementar Gestionado acciones correctivas.

230
Gestión Construir, BAI05 Cambio BAI05.07 Sostener los cambios. 1. Sostener y reforzar el cambio a través de una comunicación
adquirir e Organizacional regular que demuestre el compromiso de la alta dirección.
implementar Gestionado

Gestión Construir, BAI05 Cambio BAI05.07 Sostener los cambios. 2. Proporcionar tutoría, capacitación, entrenamiento y
adquirir e Organizacional transferencia de conocimientos al personal nuevo para
implementar Gestionado sostener el cambio.

Gestión Construir, BAI05 Cambio BAI05.07 Sostener los cambios. 3. Realizar revisiones periódicas del funcionamiento y uso del
adquirir e Organizacional cambio. Identificar mejoras.
implementar Gestionado

Gestión Construir, BAI05 Cambio BAI05.07 Sostener los cambios. 4. Capturar las lecciones aprendidas relacionadas con la
adquirir e Organizacional implementación del cambio. Comparta el conocimiento en
implementar Gestionado toda la empresa.

Gestión Construir, BAI06 Cambios de TI BAI06.01 Evaluar, priorizar y 1. Utilice solicitudes de cambio formales para permitir que los
adquirir e gestionados autorizar solicitudes propietarios de procesos comerciales y TI soliciten cambios en
implementar de cambio. los procesos comerciales, la infraestructura, los sistemas o las
aplicaciones. Asegúrese de que todos esos cambios surjan
solo a través del proceso de gestión de solicitudes de cambio.

Gestión Construir, BAI06 Cambios de TI BAI06.01 Evaluar, priorizar y 2. Categorizar todos los cambios solicitados (p. ej., proceso
adquirir e gestionados autorizar solicitudes comercial, infraestructura, sistemas operativos, redes,
implementar de cambio. sistemas de aplicación, software de aplicación
comprado/empaquetado) y relacionar los elementos de
configuración afectados.

231
Gestión Construir, BAI06 Cambios de TI BAI06.01 Evaluar, priorizar y 3. Priorizar todos los cambios solicitados en función de los
adquirir e gestionados autorizar solicitudes requisitos comerciales y técnicos; recursos requeridos; y las
implementar de cambio. razones legales, reglamentarias y contractuales del cambio
solicitado.

Gestión Construir, BAI06 Cambios de TI BAI06.01 Evaluar, priorizar y 4. Aprobar formalmente cada cambio por parte de los
adquirir e gestionados autorizar solicitudes propietarios de los procesos comerciales, los administradores
implementar de cambio. de servicios y las partes interesadas técnicas de TI, según
corresponda. Los cambios que son de bajo riesgo y
relativamente frecuentes deben aprobarse previamente como
cambios estándar.
Gestión Construir, BAI06 Cambios de TI BAI06.01 Evaluar, priorizar y 5. Planificar y programar todos los cambios aprobados.
adquirir e gestionados autorizar solicitudes
implementar de cambio.

Gestión Construir, BAI06 Cambios de TI BAI06.01 Evaluar, priorizar y 6. Planificar y evaluar todas las solicitudes de forma
adquirir e gestionados autorizar solicitudes estructurada. Incluya un análisis de impacto en el proceso
implementar de cambio. comercial, la infraestructura, los sistemas y las aplicaciones,
los planes de continuidad comercial (BCP) y los proveedores
de servicios para garantizar que se hayan identificado todos
los componentes afectados. Evaluar la probabilidad de afectar
negativamente el entorno operativo y el riesgo de
Gestión Construir, BAI06 Cambios de TI BAI06.01 Evaluar, priorizar y 7. Considere el impacto de los proveedores de servicios
adquirir e gestionados autorizar solicitudes contratados (p. ej., de procesamiento comercial,
implementar de cambio. infraestructura, desarrollo de aplicaciones y servicios
compartidos subcontratados) en el proceso de gestión de
cambios. Incluya la integración de los procesos de gestión de
cambios organizacionales con los procesos de gestión de
cambios de los proveedores de servicios y el impacto en los
Gestión Construir, BAI06 Cambios de TI BAI06.02 Gestionar cambios de 1. Definir lo que constituye un cambio de emergencia.
adquirir e gestionados emergencia.
implementar

232
Gestión Construir, BAI06 Cambios de TI BAI06.02 Gestionar cambios de 2. Asegurar que exista un procedimiento documentado para
adquirir e gestionados emergencia. declarar, evaluar, aprobar preliminarmente, autorizar después
implementar del cambio y registrar un cambio de emergencia.

Gestión Construir, BAI06 Cambios de TI BAI06.02 Gestionar cambios de 3. Verificar que todos los arreglos de acceso de emergencia
adquirir e gestionados emergencia. para cambios estén debidamente autorizados, documentados
implementar y revocados después de que se haya aplicado el cambio.

Gestión Construir, BAI06 Cambios de TI BAI06.02 Gestionar cambios de 4. Supervisar todos los cambios de emergencia y realizar
adquirir e gestionados emergencia. revisiones posteriores a la implementación que involucren a
implementar todas las partes interesadas. La revisión debe considerar e
iniciar acciones correctivas basadas en las causas
fundamentales, como problemas con el proceso comercial, el
desarrollo y mantenimiento del sistema de aplicaciones, los
entornos de desarrollo y prueba, la documentación y los
Gestión Construir, BAI06 Cambios de TI BAI06.03 Rastree e informe el 1. Categorizar las solicitudes de cambio en el proceso de
adquirir e gestionados estado del cambio. seguimiento (p. ej., rechazadas, aprobadas pero aún no
implementar iniciadas, aprobadas y en proceso y cerradas).

Gestión Construir, BAI06 Cambios de TI BAI06.03 Rastree e informe el 2. Implementar informes de estado de cambios con métricas
adquirir e gestionados estado del cambio. de rendimiento para permitir la revisión y el control de la
implementar gestión tanto del estado detallado de los cambios como del
estado general (p. ej., análisis de antigüedad de las solicitudes
de cambio). Asegúrese de que los informes de estado formen
una pista de auditoría para que los cambios puedan rastrearse
posteriormente desde el inicio hasta la disposición final.
Gestión Construir, BAI06 Cambios de TI BAI06.03 Rastree e informe el 3. Supervise los cambios abiertos para garantizar que todos
adquirir e gestionados estado del cambio. los cambios aprobados se cierren de manera oportuna, según
implementar la prioridad.

233
Gestión Construir, BAI06 Cambios de TI BAI06.03 Rastree e informe el 4. Mantener un sistema de seguimiento y generación de
adquirir e gestionados estado del cambio. informes para todas las solicitudes de cambio.
implementar

Gestión Construir, BAI06 Cambios de TI BAI06.04 Cierre y documente 1. Incluir cambios en la documentación dentro del
adquirir e gestionados los cambios. procedimiento de gestión. Los ejemplos de documentación
implementar incluyen procedimientos operativos comerciales y de TI,
continuidad comercial y documentación de recuperación ante
desastres, información de configuración, documentación de
aplicaciones, pantallas de ayuda y materiales de capacitación.
Gestión Construir, BAI06 Cambios de TI BAI06.04 Cierre y documente 2. Definir un período de retención adecuado para la
adquirir e gestionados los cambios. documentación de cambios y la documentación del usuario y
implementar del sistema anterior y posterior al cambio.

Gestión Construir, BAI06 Cambios de TI BAI06.04 Cierre y documente 3. Someter la documentación al mismo nivel de revisión que el
adquirir e gestionados los cambios. cambio real.
implementar

Gestión Construir, BAI07 Transición y BAI07.01 Establecer un plan de 1. Crear un plan de implementación que refleje la estrategia
adquirir e aceptación de implementación. de implementación amplia, la secuencia de pasos de
implementar cambios de TI implementación, los requisitos de recursos, las
gestionados interdependencias, los criterios para la aceptación de la
administración de la implementación de producción, los
requisitos de verificación de la instalación, la estrategia de
transición para el soporte de producción y la actualización de
Gestión Construir, BAI07 Transición y BAI07.01 Establecer un plan de 2. De los proveedores de soluciones externas, obtener el
adquirir e aceptación de implementación. compromiso de su participación en cada paso de la
implementar cambios de TI implementación.
gestionados

234
Gestión Construir, BAI07 Transición y BAI07.01 Establecer un plan de 3. Identificar y documentar los procesos de respaldo y
adquirir e aceptación de implementación. recuperación.
implementar cambios de TI
gestionados

Gestión Construir, BAI07 Transición y BAI07.01 Establecer un plan de 4. Confirmar que todos los planes de implementación sean
adquirir e aceptación de implementación. aprobados por las partes interesadas técnicas y comerciales y
implementar cambios de TI revisados por auditoría interna, según corresponda.
gestionados

Gestión Construir, BAI07 Transición y BAI07.01 Establecer un plan de 5. Revisar formalmente el riesgo técnico y comercial asociado
adquirir e aceptación de implementación. con la implementación. Asegúrese de que el riesgo clave sea
implementar cambios de TI considerado y abordado en el proceso de planificación.
gestionados

Gestión Construir, BAI07 Transición y BAI07.02 Planificar el proceso 1. Definir un plan de migración de infraestructura, datos de
adquirir e aceptación de de negocio, el sistema servicios de I&T y procesos comerciales. Al desarrollar el plan,
implementar cambios de TI y la conversión de considere, por ejemplo, el hardware, las redes, los sistemas
gestionados datos. operativos, el software, los datos de transacciones, los
archivos maestros, las copias de seguridad y los archivos, las
interfaces con otros sistemas (tanto internos como externos),
los posibles requisitos de cumplimiento, los procedimientos
Gestión Construir, BAI07 Transición y BAI07.02 Planificar el proceso 2. En el plan de conversión de procesos comerciales,
adquirir e aceptación de de negocio, el sistema considere todos los ajustes necesarios a los procedimientos,
implementar cambios de TI y la conversión de incluidas las funciones y responsabilidades revisadas y los
gestionados datos. procedimientos de control.

Gestión Construir, BAI07 Transición y BAI07.02 Planificar el proceso 3. Confirme que el plan de conversión de datos no requiere
adquirir e aceptación de de negocio, el sistema cambios en los valores de los datos a menos que sea
implementar cambios de TI y la conversión de absolutamente necesario por motivos comerciales.
gestionados datos. Documente los cambios realizados en los valores de los datos
y obtenga la aprobación del propietario de los datos del
proceso empresarial.

235
Gestión Construir, BAI07 Transición y BAI07.02 Planificar el proceso 4. Planifique la retención de copias de seguridad y datos
adquirir e aceptación de de negocio, el sistema archivados para cumplir con las necesidades comerciales y los
implementar cambios de TI y la conversión de requisitos normativos o de cumplimiento.
gestionados datos.

Gestión Construir, BAI07 Transición y BAI07.02 Planificar el proceso 5. Ensaye y pruebe la conversión antes de intentar una
adquirir e aceptación de de negocio, el sistema conversión en vivo.
implementar cambios de TI y la conversión de
gestionados datos.

Gestión Construir, BAI07 Transición y BAI07.02 Planificar el proceso 6. Coordinar y verificar el tiempo y la integridad del cambio de
adquirir e aceptación de de negocio, el sistema conversión para que haya una transición suave y continua sin
implementar cambios de TI y la conversión de pérdida de datos de transacciones. Cuando sea necesario, a
gestionados datos. falta de otra alternativa, congelar las operaciones en vivo.

Gestión Construir, BAI07 Transición y BAI07.02 Planificar el proceso 7. Planee hacer una copia de seguridad de todos los sistemas
adquirir e aceptación de de negocio, el sistema y datos tomados en el punto anterior a la conversión.
implementar cambios de TI y la conversión de Mantenga pistas de auditoría para permitir que se vuelva a
gestionados datos. rastrear la conversión. Asegúrese de que haya un plan de
recuperación que cubra la reversión de la migración y la
recuperación al procesamiento anterior en caso de que falle la
migración.
Gestión Construir, BAI07 Transición y BAI07.02 Planificar el proceso 8. En el plan de conversión de datos, incorporar métodos para
adquirir e aceptación de de negocio, el sistema recolectar, convertir y verificar los datos a convertir, e
implementar cambios de TI y la conversión de identificar y resolver cualquier error encontrado durante la
gestionados datos. conversión. Incluya la comparación de los datos originales y
convertidos para verificar que estén completos e íntegros.

Gestión Construir, BAI07 Transición y BAI07.02 Planificar el proceso 9. Considere el riesgo de problemas de conversión, la
adquirir e aceptación de de negocio, el sistema planificación de la continuidad del negocio y los
implementar cambios de TI y la conversión de procedimientos alternativos en el proceso comercial, el plan
gestionados datos. de migración de datos e infraestructura donde existan
requisitos de administración de riesgos, necesidades
comerciales o cumplimiento normativo.

236
Gestión Construir, BAI07 Transición y BAI07.03 Pruebas de 1. Desarrollar y documentar el plan de prueba, que se alinea
adquirir e aceptación de aceptación del plan. con el programa, el plan de calidad del proyecto y los
implementar cambios de TI estándares organizacionales relevantes. Comuníquese y
gestionados consulte con los propietarios de procesos de negocios
apropiados y las partes interesadas de TI.

Gestión Construir, BAI07 Transición y BAI07.03 Pruebas de 2. Asegúrese de que el plan de prueba refleje una evaluación
adquirir e aceptación de aceptación del plan. del riesgo del proyecto y que se prueben todos los requisitos
implementar cambios de TI funcionales y técnicos. Con base en la evaluación del riesgo de
gestionados falla del sistema y fallas en la implementación, incluir en el
plan los requisitos de rendimiento, estrés, usabilidad, piloto,
pruebas de seguridad y privacidad.
Gestión Construir, BAI07 Transición y BAI07.03 Pruebas de 3. Asegúrese de que el plan de prueba aborde la posible
adquirir e aceptación de aceptación del plan. necesidad de acreditación interna o externa de los resultados
implementar cambios de TI del proceso de prueba (por ejemplo, requisitos financieros o
gestionados reglamentarios).

Gestión Construir, BAI07 Transición y BAI07.03 Pruebas de 4. Asegúrese de que el plan de prueba identifique los recursos
adquirir e aceptación de aceptación del plan. necesarios para ejecutar la prueba y evaluar los resultados.
implementar cambios de TI Ejemplos de recursos pueden ser la construcción de entornos
gestionados de prueba y el uso del tiempo del personal para el grupo de
prueba, incluido el posible reemplazo temporal del personal
de prueba en los entornos de producción o desarrollo.
Asegúrese de que se consulte a las partes interesadas sobre
Gestión Construir, BAI07 Transición y BAI07.03 Pruebas de 5. Asegúrese de que el plan de prueba identifique las fases de
adquirir e aceptación de aceptación del plan. prueba apropiadas para los requisitos operativos y el entorno.
implementar cambios de TI Ejemplos de dichas fases de prueba incluyen prueba unitaria,
gestionados prueba del sistema, prueba de integración, prueba de
aceptación del usuario, prueba de rendimiento, prueba de
estrés, prueba de conversión de datos, prueba de seguridad,
prueba de privacidad, prueba de preparación operativa y
Gestión Construir, BAI07 Transición y BAI07.03 Pruebas de 6. Confirme que el plan de prueba considere la preparación de
adquirir e aceptación de aceptación del plan. la prueba (incluida la preparación del sitio), los requisitos de
implementar cambios de TI capacitación, la instalación o una actualización de un entorno
gestionados de prueba definido, la
planificación/ejecución/documentación/retención de casos de
prueba, manejo de errores y problemas, corrección y
escalamiento, y aprobación.

237
Gestión Construir, BAI07 Transición y BAI07.03 Pruebas de 7. Confirme que todos los planes de prueba estén aprobados
adquirir e aceptación de aceptación del plan. por las partes interesadas, incluidos los propietarios de
implementar cambios de TI procesos comerciales y TI, según corresponda. Las partes
gestionados interesadas pueden incluir gerentes de desarrollo de
aplicaciones, gerentes de proyectos y usuarios finales de
procesos comerciales.
Gestión Construir, BAI07 Transición y BAI07.03 Pruebas de 8. Asegúrese de que el plan de prueba establezca criterios
adquirir e aceptación de aceptación del plan. claros para medir el éxito de emprender cada fase de prueba.
implementar cambios de TI Consulte a los propietarios de los procesos comerciales y a las
gestionados partes interesadas de TI para definir los criterios de éxito.
Determinar que el plan establece procedimientos de
remediación cuando no se cumplen los criterios de éxito. Por
ejemplo, si hay una falla significativa en una fase de prueba, el
Gestión Construir, BAI07 Transición y BAI07.04 Establecer un entorno 1. Cree una base de datos de datos de prueba que sean
adquirir e aceptación de de prueba. representativos del entorno de producción. Desinfecte los
implementar cambios de TI datos utilizados en el entorno de prueba del entorno de
gestionados producción de acuerdo con las necesidades comerciales y los
estándares organizacionales. Por ejemplo, considere si los
requisitos reglamentarios o de cumplimiento obligan al uso de
datos desinfectados.
Gestión Construir, BAI07 Transición y BAI07.04 Establecer un entorno 2. Proteger los datos y resultados de pruebas confidenciales
adquirir e aceptación de de prueba. contra la divulgación, incluido el acceso, la retención, el
implementar cambios de TI almacenamiento y la destrucción. Considere el efecto de la
gestionados interacción de los sistemas organizacionales con los de
terceros.

Gestión Construir, BAI07 Transición y BAI07.04 Establecer un entorno 3. Implementar un proceso para permitir la retención o
adquirir e aceptación de de prueba. eliminación adecuada de los resultados de las pruebas, los
implementar cambios de TI medios y otra documentación asociada que permita una
gestionados revisión adecuada y un análisis posterior o una nueva prueba
eficiente según lo requiera el plan de pruebas. Considere el
efecto de los requisitos regulatorios o de cumplimiento.
Gestión Construir, BAI07 Transición y BAI07.04 Establecer un entorno 4. Asegúrese de que el entorno de prueba sea representativo
adquirir e aceptación de de prueba. del futuro panorama comercial y operativo. Incluya los
implementar cambios de TI procedimientos y roles de los procesos comerciales, el estrés
gestionados probable de la carga de trabajo, los sistemas operativos, el
software de aplicación necesario, los sistemas de
administración de bases de datos y la infraestructura
informática y de red que se encuentra en el entorno de

238
Gestión Construir, BAI07 Transición y BAI07.04 Establecer un entorno 5. Asegúrese de que el entorno de prueba sea seguro y no
adquirir e aceptación de de prueba. pueda interactuar con los sistemas de producción.
implementar cambios de TI
gestionados

Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 1. Revise el registro categorizado de errores encontrados en el
adquirir e aceptación de aceptación. proceso de prueba por el equipo de desarrollo. Verifique que
implementar cambios de TI todos los errores hayan sido corregidos o aceptados
gestionados formalmente.

Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 2. Evaluar la aceptación final frente a los criterios de éxito e
adquirir e aceptación de aceptación. interpretar los resultados de las pruebas de aceptación final.
implementar cambios de TI Preséntelos en una forma que sea comprensible para los
gestionados propietarios de procesos comerciales y TI, de modo que se
pueda realizar una revisión y evaluación informadas.

Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 3. Aprobar la aceptación, con la firma formal de los
adquirir e aceptación de aceptación. propietarios del proceso comercial, terceros (según
implementar cambios de TI corresponda) y partes interesadas de TI antes de la
gestionados promoción.

Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 4. Asegurarse de que las pruebas de los cambios se realicen de
adquirir e aceptación de aceptación. acuerdo con el plan de pruebas. Asegúrese de que las pruebas
implementar cambios de TI estén diseñadas y realizadas por un grupo de pruebas que sea
gestionados independiente del equipo de desarrollo. Considere hasta qué
punto los propietarios de los procesos comerciales y los
usuarios finales están involucrados en el grupo de prueba.
Asegúrese de que las pruebas se realicen solo dentro del
Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 5. Asegúrese de que las pruebas y los resultados previstos
adquirir e aceptación de aceptación. estén de acuerdo con los criterios de éxito definidos en el plan
implementar cambios de TI de pruebas.
gestionados

239
Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 6. Considere el uso de instrucciones de prueba claramente
adquirir e aceptación de aceptación. definidas (guiones) para implementar las pruebas. Asegúrese
implementar cambios de TI de que el grupo de prueba independiente evalúe y apruebe
gestionados cada guión de prueba para confirmar que aborda
adecuadamente los criterios de éxito de la prueba
establecidos en el plan de prueba. Considere el uso de scripts
para verificar hasta qué punto el sistema cumple con los
Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 7. Considere el equilibrio apropiado entre las pruebas
adquirir e aceptación de aceptación. automatizadas con guiones y las pruebas interactivas del
implementar cambios de TI usuario.
gestionados

Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 8. Realizar pruebas de seguridad de acuerdo con el plan de
adquirir e aceptación de aceptación. pruebas. Medir el alcance de las debilidades o lagunas de
implementar cambios de TI seguridad. Considere el efecto de los incidentes de seguridad
gestionados desde la construcción del plan de prueba. Considere el efecto
sobre los controles de acceso y límites. Considera la
privacidad.
Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 9. Realizar pruebas de rendimiento del sistema y de la
adquirir e aceptación de aceptación. aplicación de acuerdo con el plan de prueba. Considere una
implementar cambios de TI variedad de métricas de rendimiento (p. ej., tiempos de
gestionados respuesta del usuario final y rendimiento de actualización del
sistema de administración de bases de datos).

Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 10. Al realizar pruebas, asegúrese de que se hayan abordado
adquirir e aceptación de aceptación. los elementos de respaldo y reversión del plan de prueba.
implementar cambios de TI
gestionados

Gestión Construir, BAI07 Transición y BAI07.05 Realizar pruebas de 11. Identificar, registrar y clasificar (p. ej., errores menores,
adquirir e aceptación de aceptación. significativos, de misión crítica) durante las pruebas.
implementar cambios de TI Asegúrese de que esté disponible un registro de auditoría de
gestionados los resultados de las pruebas. De acuerdo con el plan de
prueba, comunique los resultados de la prueba a las partes
interesadas para facilitar la corrección de errores y una mayor
mejora de la calidad.

240
Gestión Construir, BAI07 Transición y BAI07.06 Promocionar a 1. Prepararse para la transferencia de procedimientos
adquirir e aceptación de producción y comerciales y servicios de soporte, aplicaciones e
implementar cambios de TI gestionar infraestructura del entorno de prueba al entorno de
gestionados lanzamientos. producción de acuerdo con los estándares de gestión de
cambios organizacionales.

Gestión Construir, BAI07 Transición y BAI07.06 Promocionar a 2. Determinar el alcance de la implementación piloto o el
adquirir e aceptación de producción y procesamiento paralelo de los sistemas antiguo y nuevo de
implementar cambios de TI gestionar acuerdo con el plan de implementación.
gestionados lanzamientos.

Gestión Construir, BAI07 Transición y BAI07.06 Promocionar a 3. Actualizar de inmediato la documentación del sistema y los
adquirir e aceptación de producción y procesos comerciales relevantes, la información de
implementar cambios de TI gestionar configuración y los documentos del plan de contingencia,
gestionados lanzamientos. según corresponda.

Gestión Construir, BAI07 Transición y BAI07.06 Promocionar a 4. Asegúrese de que todas las bibliotecas de medios se
adquirir e aceptación de producción y actualicen rápidamente con la versión del componente de la
implementar cambios de TI gestionar solución que se transfiere del entorno de prueba al de
gestionados lanzamientos. producción. Archive la versión existente y su documentación
de respaldo. Asegúrese de que la promoción a producción de
sistemas, software de aplicación e infraestructura esté bajo
control de configuración.
Gestión Construir, BAI07 Transición y BAI07.06 Promocionar a 5. Cuando la distribución de los componentes de la solución se
adquirir e aceptación de producción y realice electrónicamente, controle la distribución
implementar cambios de TI gestionar automatizada para garantizar que se notifique a los usuarios y
gestionados lanzamientos. que la distribución se realice solo a destinos autorizados y
correctamente identificados. En el proceso de lanzamiento,
incluya procedimientos de copia de seguridad para permitir la
revisión de la distribución de cambios en caso de mal
Gestión Construir, BAI07 Transición y BAI07.06 Promocionar a 6. Cuando la distribución tome forma física, mantenga un
adquirir e aceptación de producción y registro formal de qué artículos se han distribuido, a quién,
implementar cambios de TI gestionar dónde se han implementado y cuándo se ha actualizado cada
gestionados lanzamientos. uno.

241
Gestión Construir, BAI07 Transición y BAI07.07 Brindar apoyo 1. Proporcionar recursos adicionales, según sea necesario, a
adquirir e aceptación de temprano a la los usuarios finales y al personal de soporte hasta que se
implementar cambios de TI producción. estabilice la versión.
gestionados

Gestión Construir, BAI07 Transición y BAI07.07 Brindar apoyo 2. Proporcionar recursos de sistemas de I&T adicionales,
adquirir e aceptación de temprano a la según sea necesario, hasta que la versión se encuentre en un
implementar cambios de TI producción. entorno operativo estable.
gestionados

Gestión Construir, BAI07 Transición y BAI07.08 Realice una revisión 1. Establecer procedimientos para garantizar que las
adquirir e aceptación de posterior a la revisiones posteriores a la implementación identifiquen,
implementar cambios de TI implementación. evalúen e informen en qué medida se han producido los
gestionados siguientes eventos: se han cumplido los requisitos de la
empresa; se han realizado los beneficios esperados; el sistema
se considera utilizable; se cumplen las expectativas de las
partes interesadas internas y externas; se han producido
Gestión Construir, BAI07 Transición y BAI07.08 Realice una revisión 2. Consultar a los propietarios de los procesos comerciales y la
adquirir e aceptación de posterior a la gestión técnica de TI en la elección de métricas para la
implementar cambios de TI implementación. medición del éxito y el logro de los requisitos y beneficios.
gestionados

Gestión Construir, BAI07 Transición y BAI07.08 Realice una revisión 3. Llevar a cabo la revisión posterior a la implementación de
adquirir e aceptación de posterior a la acuerdo con el proceso de gestión del cambio organizacional.
implementar cambios de TI implementación. Involucrar a los propietarios de los procesos comerciales y a
gestionados terceros, según corresponda.

Gestión Construir, BAI07 Transición y BAI07.08 Realice una revisión 4. Considere los requisitos para la revisión posterior a la
adquirir e aceptación de posterior a la implementación que surjan del negocio externo y de TI (por
implementar cambios de TI implementación. ejemplo, auditoría interna, ERM, cumplimiento).
gestionados

242
Gestión Construir, BAI07 Transición y BAI07.08 Realice una revisión 5. Acordar e implementar un plan de acción para abordar los
adquirir e aceptación de posterior a la problemas identificados en la revisión posterior a la
implementar cambios de TI implementación. implementación. Involucrar a los propietarios de procesos
gestionados comerciales y la gestión técnica de TI en el desarrollo del plan
de acción.

Gestión Construir, BAI08 Conocimiento BAI08.01 Identificar y clasificar 1. Identificar a los posibles usuarios del conocimiento,
adquirir e gestionado las fuentes de incluidos los propietarios de la información que pueden
implementar información para el necesitar contribuir y aprobar el conocimiento. Obtener
gobierno y la gestión requerimientos de conocimiento y fuentes de información de
de I&T. usuarios identificados.

Gestión Construir, BAI08 Conocimiento BAI08.01 Identificar y clasificar 2. Considere los tipos de contenido (procedimientos,
adquirir e gestionado las fuentes de procesos, estructuras, conceptos, políticas, reglas, hechos,
implementar información para el clasificaciones), artefactos (documentos, registros, video, voz)
gobierno y la gestión e información estructurada y no estructurada (expertos, redes
de I&T. sociales, correo electrónico, correo de voz, Fuentes Rich Site
Summary (RSS)).
Gestión Construir, BAI08 Conocimiento BAI08.01 Identificar y clasificar 3. Clasificar fuentes de información con base en un esquema
adquirir e gestionado las fuentes de de clasificación de contenido (por ejemplo, modelo de
implementar información para el arquitectura de información). Asignar fuentes de información
gobierno y la gestión al esquema de clasificación.
de I&T.

Gestión Construir, BAI08 Conocimiento BAI08.01 Identificar y clasificar 4. Recolectar, cotejar y validar fuentes de información con
adquirir e gestionado las fuentes de base en criterios de validación de la información (p. ej.,
implementar información para el comprensibilidad, relevancia, importancia, integridad,
gobierno y la gestión precisión, consistencia, confidencialidad, vigencia y
de I&T. confiabilidad).

Gestión Construir, BAI08 Conocimiento BAI08.02 Organizar y 1. Identificar atributos compartidos y unir fuentes de
adquirir e gestionado contextualizar la información, creando relaciones entre conjuntos de
implementar información en información (etiquetado de información).
conocimiento.

243
Gestión Construir, BAI08 Conocimiento BAI08.02 Organizar y 2. Cree vistas para conjuntos de datos relacionados, teniendo
adquirir e gestionado contextualizar la en cuenta los requisitos de las partes interesadas y de la
implementar información en organización.
conocimiento.

Gestión Construir, BAI08 Conocimiento BAI08.02 Organizar y 3. Diseñar e implementar un esquema para gestionar el
adquirir e gestionado contextualizar la conocimiento no estructurado que no está disponible a través
implementar información en de fuentes formales (por ejemplo, conocimiento experto).
conocimiento.

Gestión Construir, BAI08 Conocimiento BAI08.02 Organizar y 4. Publicar y hacer que el conocimiento sea accesible para las
adquirir e gestionado contextualizar la partes interesadas relevantes, según roles y mecanismos de
implementar información en acceso.
conocimiento.

Gestión Construir, BAI08 Conocimiento BAI08.03 Usar y compartir 1. Establecer expectativas de gestión y demostrar una actitud
adquirir e gestionado conocimientos. adecuada con respecto a la utilidad del conocimiento y la
implementar necesidad de compartir el conocimiento relacionado con el
gobierno y la gestión de la I&T empresarial.

Gestión Construir, BAI08 Conocimiento BAI08.03 Usar y compartir 2. Identificar usuarios potenciales del conocimiento por
adquirir e gestionado conocimientos. clasificación del conocimiento.
implementar

Gestión Construir, BAI08 Conocimiento BAI08.03 Usar y compartir 3. Transferir conocimiento a los usuarios del conocimiento,
adquirir e gestionado conocimientos. con base en un análisis de brechas de necesidades y técnicas
implementar de aprendizaje efectivas. Cree un entorno, herramientas y
artefactos que apoyen el intercambio y la transferencia de
conocimientos. Asegúrese de que existan controles de acceso
adecuados, de acuerdo con la clasificación de conocimiento
definida.

244
Gestión Construir, BAI08 Conocimiento BAI08.03 Usar y compartir 4. Medir el uso de herramientas y elementos de conocimiento
adquirir e gestionado conocimientos. y evaluar el impacto en los procesos de gobernanza.
implementar

Gestión Construir, BAI08 Conocimiento BAI08.03 Usar y compartir 5. Mejorar la información y el conocimiento para procesos de
adquirir e gestionado conocimientos. gobernanza que muestren brechas de conocimiento.
implementar

Gestión Construir, BAI08 Conocimiento BAI08.04 Evaluar y actualizar o 1. Defina los controles para el retiro del conocimiento y retire
adquirir e gestionado retirar información. el conocimiento en consecuencia.
implementar

Gestión Construir, BAI08 Conocimiento BAI08.04 Evaluar y actualizar o 2. Evaluar la utilidad, pertinencia y valor de los elementos del
adquirir e gestionado retirar información. conocimiento. Actualice la información obsoleta que todavía
implementar tiene relevancia y valor para la organización. Identificar la
información relacionada que ya no es relevante para los
requisitos de conocimiento de la empresa y retirarla o
archivarla de acuerdo con la política.
Gestión Construir, BAI09 Activos BAI09.01 Identificar y registrar 1. Identificar todos los activos de propiedad en un registro de
adquirir e administrados los activos corrientes. activos que registre el estado actual. Los activos se informan
implementar en el balance general; se compran o crean para aumentar el
valor de una empresa o beneficiar las operaciones de la
empresa (por ejemplo, hardware y software). Identificar todos
los activos de propiedad y mantener la alineación con los
procesos de gestión de cambios y gestión de configuración, el
Gestión Construir, BAI09 Activos BAI09.01 Identificar y registrar 2. Identificar los requisitos legales, reglamentarios o
adquirir e administrados los activos corrientes. contractuales que deben abordarse al administrar el activo.
implementar

245
Gestión Construir, BAI09 Activos BAI09.01 Identificar y registrar 3. Verificar que los activos sean aptos para su propósito (es
adquirir e administrados los activos corrientes. decir, en condiciones útiles).
implementar

Gestión Construir, BAI09 Activos BAI09.01 Identificar y registrar 4. Garantizar la contabilidad de todos los activos.
adquirir e administrados los activos corrientes.
implementar

Gestión Construir, BAI09 Activos BAI09.01 Identificar y registrar 5. Verificar la existencia de todos los activos propios mediante
adquirir e administrados los activos corrientes. la realización de verificaciones y conciliaciones regulares de
implementar inventario físico y lógico. Incluir el uso de herramientas de
descubrimiento de software.

Gestión Construir, BAI09 Activos BAI09.01 Identificar y registrar 6. Determinar periódicamente si cada activo sigue
adquirir e administrados los activos corrientes. proporcionando valor. Si es así, estime la vida útil esperada
implementar para entregar valor.

Gestión Construir, BAI09 Activos BAI09.02 Gestionar activos 1. Identifique los activos que son críticos para proporcionar la
adquirir e administrados críticos. capacidad de servicio haciendo referencia a los requisitos en
implementar las definiciones de servicio, SLA y el sistema de gestión de
configuración.

Gestión Construir, BAI09 Activos BAI09.02 Gestionar activos 2. De manera regular, considere el riesgo de falla o la
adquirir e administrados críticos. necesidad de reemplazo de cada activo crítico.
implementar

246
Gestión Construir, BAI09 Activos BAI09.02 Gestionar activos 3. Comunicar a los clientes y usuarios afectados el impacto
adquirir e administrados críticos. esperado (p. ej., restricciones de rendimiento) de las
implementar actividades de mantenimiento.

Gestión Construir, BAI09 Activos BAI09.02 Gestionar activos 4. Incorpore el tiempo de inactividad planificado en un
adquirir e administrados críticos. programa de producción general. Programe las actividades de
implementar mantenimiento para minimizar el impacto adverso en los
procesos comerciales.

Gestión Construir, BAI09 Activos BAI09.02 Gestionar activos 5. Mantener la resiliencia de los activos críticos aplicando un
adquirir e administrados críticos. mantenimiento preventivo regular. Supervise el rendimiento
implementar y, si es necesario, proporcione activos alternativos y/o
adicionales para minimizar la probabilidad de falla.

Gestión Construir, BAI09 Activos BAI09.02 Gestionar activos 6. Establecer un plan de mantenimiento preventivo para todo
adquirir e administrados críticos. el hardware, considerando análisis de costo/beneficio,
implementar recomendaciones de proveedores, riesgo de interrupción,
personal calificado y otros factores relevantes.

Gestión Construir, BAI09 Activos BAI09.02 Gestionar activos 7. Establecer acuerdos de mantenimiento que involucren el
adquirir e administrados críticos. acceso de terceros a las instalaciones de I&T de la
implementar organización para actividades en el sitio y fuera del sitio (por
ejemplo, subcontratación). Establecer contratos de servicios
formales que contengan o hagan referencia a todas las
condiciones de seguridad y privacidad necesarias, incluidos los
procedimientos de autorización de acceso, para garantizar el
Gestión Construir, BAI09 Activos BAI09.02 Gestionar activos 8. Asegúrese de que los servicios de acceso remoto y los
adquirir e administrados críticos. perfiles de usuario (u otros medios utilizados para el
implementar mantenimiento o el diagnóstico) estén activos solo cuando
sea necesario.

247
Gestión Construir, BAI09 Activos BAI09.02 Gestionar activos 9. Supervisar el rendimiento de los activos críticos mediante el
adquirir e administrados críticos. examen de las tendencias de los incidentes. Cuando sea
implementar necesario, tome medidas para reparar o reemplazar.

Gestión Construir, BAI09 Activos BAI09.03 Gestionar el ciclo de 1. Adquirir todos los activos sobre la base de solicitudes
adquirir e administrados vida de los activos. aprobadas y de acuerdo con las políticas y prácticas de
implementar adquisición de la empresa.

Gestión Construir, BAI09 Activos BAI09.03 Gestionar el ciclo de 2. Obtener, recibir, verificar, probar y registrar todos los
adquirir e administrados vida de los activos. activos de manera controlada, incluido el etiquetado físico
implementar según sea necesario.

Gestión Construir, BAI09 Activos BAI09.03 Gestionar el ciclo de 3. Aprobar los pagos y completar el proceso con los
adquirir e administrados vida de los activos. proveedores de acuerdo con las condiciones del contrato
implementar acordado.

Gestión Construir, BAI09 Activos BAI09.03 Gestionar el ciclo de 4. Implementar activos siguiendo el ciclo de vida de
adquirir e administrados vida de los activos. implementación estándar, incluida la gestión de cambios y las
implementar pruebas de aceptación.

Gestión Construir, BAI09 Activos BAI09.03 Gestionar el ciclo de 5. Asignar activos a los usuarios, con aceptación de
adquirir e administrados vida de los activos. responsabilidades y firma, según corresponda.
implementar

248
Gestión Construir, BAI09 Activos BAI09.03 Gestionar el ciclo de 6. Siempre que sea posible, reasignar los activos cuando ya no
adquirir e administrados vida de los activos. sean necesarios debido a un cambio de rol de usuario,
implementar redundancia dentro de un servicio o retiro de un servicio.

Gestión Construir, BAI09 Activos BAI09.03 Gestionar el ciclo de 7. Planificar, autorizar e implementar actividades relacionadas
adquirir e administrados vida de los activos. con la jubilación, conservando los registros apropiados para
implementar satisfacer las necesidades regulatorias y comerciales en curso.

Gestión Construir, BAI09 Activos BAI09.03 Gestionar el ciclo de 8. Disponer de los activos de forma segura, considerando, por
adquirir e administrados vida de los activos. ejemplo, la eliminación permanente de cualquier dato
implementar grabado en los dispositivos de medios y el daño potencial al
medio ambiente.

Gestión Construir, BAI09 Activos BAI09.03 Gestionar el ciclo de 9. Disponer responsablemente de los activos cuando no sirvan
adquirir e administrados vida de los activos. para ningún propósito útil por retiro de todos los servicios
implementar relacionados, tecnología obsoleta o falta de usuarios en
relación con el impacto ambiental.

Gestión Construir, BAI09 Activos BAI09.04 Optimizar el valor de 1. De manera regular, revise la base general de activos,
adquirir e administrados los activos. considerando si está alineado con los requisitos del negocio.
implementar

Gestión Construir, BAI09 Activos BAI09.04 Optimizar el valor de 2. Evaluar los costos de mantenimiento, considerar la
adquirir e administrados los activos. razonabilidad e identificar opciones de menor costo. Incluir,
implementar en caso necesario, la sustitución por nuevas alternativas.

249
Gestión Construir, BAI09 Activos BAI09.04 Optimizar el valor de 3. Revisar las garantías y considerar las estrategias de valor
adquirir e administrados los activos. por dinero y reemplazo para determinar las opciones de
implementar menor costo.

Gestión Construir, BAI09 Activos BAI09.04 Optimizar el valor de 4. Usar estadísticas de capacidad y utilización para identificar
adquirir e administrados los activos. activos infrautilizados o redundantes que podrían
implementar considerarse para su eliminación o reemplazo para reducir
costos.

Gestión Construir, BAI09 Activos BAI09.04 Optimizar el valor de 5. Revisar la base general para identificar oportunidades de
adquirir e administrados los activos. estandarización, abastecimiento único y otras estrategias que
implementar puedan reducir los costos de adquisición, soporte y
mantenimiento.

Gestión Construir, BAI09 Activos BAI09.04 Optimizar el valor de 6. Revisar el estado general para identificar oportunidades
adquirir e administrados los activos. para aprovechar tecnologías emergentes o estrategias de
implementar abastecimiento alternativas para reducir costos o aumentar la
relación calidad-precio.

Gestión Construir, BAI09 Activos BAI09.05 Administrar licencias. 1. Mantener un registro de todas las licencias de software
adquirir e administrados adquiridas y los acuerdos de licencia asociados.
implementar

Gestión Construir, BAI09 Activos BAI09.05 Administrar licencias. 2. Con regularidad, realice una auditoría para identificar todas
adquirir e administrados las instancias de software con licencia instalado.
implementar

250
Gestión Construir, BAI09 Activos BAI09.05 Administrar licencias. 3. Compare la cantidad de instancias de software instaladas
adquirir e administrados con la cantidad de licencias que posee. Asegúrese de que el
implementar método de medición del cumplimiento de la licencia cumpla
con la licencia y los requisitos contractuales.

Gestión Construir, BAI09 Activos BAI09.05 Administrar licencias. 4. Cuando las instancias sean inferiores a la cantidad que
adquirir e administrados posee, decida si es necesario conservar o rescindir las
implementar licencias, teniendo en cuenta el potencial de ahorro en
mantenimiento, capacitación y otros costos innecesarios.

Gestión Construir, BAI09 Activos BAI09.05 Administrar licencias. 5. Cuando las instancias superen el número que posee,
adquirir e administrados considere primero la oportunidad de desinstalar instancias
implementar que ya no sean necesarias o justificadas y luego, si es
necesario, compre licencias adicionales para cumplir con el
acuerdo de licencia.

Gestión Construir, BAI09 Activos BAI09.05 Administrar licencias. 6. De manera regular, considere si se puede obtener un mejor
adquirir e administrados valor al actualizar los productos y las licencias asociadas.
implementar

Gestión Construir, BAI10 Configuración BAI10.01 Establecer y 1. Definir y acordar el alcance y el nivel de detalle de la
adquirir e administrada mantener un modelo gestión de la configuración (es decir, qué servicios, activos y
implementar de configuración. elementos configurables de la infraestructura incluir).

Gestión Construir, BAI10 Configuración BAI10.01 Establecer y 2. Establecer y mantener un modelo lógico para la gestión de
adquirir e administrada mantener un modelo la configuración, incluida la información sobre tipos de CI,
implementar de configuración. atributos, tipos de relación, atributos de relación y códigos de
estado.

251
Gestión Construir, BAI10 Configuración BAI10.02 Establecer y 1. Identifique y clasifique los CI y complete el repositorio.
adquirir e administrada mantener un depósito
implementar de configuración y
una línea de base.

Gestión Construir, BAI10 Configuración BAI10.02 Establecer y 2. Crear, revisar y acordar formalmente las líneas base de
adquirir e administrada mantener un depósito configuración de un servicio, aplicación o infraestructura.
implementar de configuración y
una línea de base.

Gestión Construir, BAI10 Configuración BAI10.03 Mantener y controlar 1. Identifique periódicamente todos los cambios en los CI.
adquirir e administrada los elementos de
implementar configuración.

Gestión Construir, BAI10 Configuración BAI10.03 Mantener y controlar 2. Para garantizar la integridad y la precisión, revise los
adquirir e administrada los elementos de cambios propuestos a los IC en comparación con la línea de
implementar configuración. base.

Gestión Construir, BAI10 Configuración BAI10.03 Mantener y controlar 3. Actualice los detalles de configuración para los cambios
adquirir e administrada los elementos de aprobados en los CI.
implementar configuración.

Gestión Construir, BAI10 Configuración BAI10.03 Mantener y controlar 4. Crear, revisar y acordar formalmente los cambios en las
adquirir e administrada los elementos de líneas base de configuración cuando sea necesario.
implementar configuración.

252
Gestión Construir, BAI10 Configuración BAI10.04 Producir informes de 1. Identifique los cambios de estado de los CI e informe contra
adquirir e administrada estado y la línea de base.
implementar configuración.

Gestión Construir, BAI10 Configuración BAI10.04 Producir informes de 2. Haga coincidir todos los cambios de configuración con las
adquirir e administrada estado y solicitudes de cambio aprobadas para identificar cualquier
implementar configuración. cambio no autorizado. Reportar cambios no autorizados a la
gestión de cambios.

Gestión Construir, BAI10 Configuración BAI10.04 Producir informes de 3. Identificar los requisitos de presentación de informes de
adquirir e administrada estado y todas las partes interesadas, incluido el contenido, la
implementar configuración. frecuencia y los medios. Elaborar informes de acuerdo a los
requerimientos identificados.

Gestión Construir, BAI10 Configuración BAI10.05 Verifique y revise la 1. Verifique periódicamente los elementos de configuración
adquirir e administrada integridad del en vivo con el depósito de configuración comparando las
implementar depósito de configuraciones físicas y lógicas y utilizando las herramientas
configuración. de descubrimiento adecuadas, según sea necesario.

Gestión Construir, BAI10 Configuración BAI10.05 Verifique y revise la 2. Informar y revisar todas las desviaciones para las
adquirir e administrada integridad del correcciones o acciones aprobadas para eliminar cualquier
implementar depósito de activo no autorizado.
configuración.

Gestión Construir, BAI10 Configuración BAI10.05 Verifique y revise la 3. Verifique periódicamente que todos los elementos de
adquirir e administrada integridad del configuración física, tal como se definen en el repositorio,
implementar depósito de existan físicamente. Reportar cualquier desviación a la
configuración. gerencia.

253
Gestión Construir, BAI10 Configuración BAI10.05 Verifique y revise la 4. Establezca y revise periódicamente el objetivo de integridad
adquirir e administrada integridad del del depósito de configuración en función de las necesidades
implementar depósito de comerciales.
configuración.

Gestión Construir, BAI10 Configuración BAI10.05 Verifique y revise la 5. Comparar periódicamente el grado de integridad y
adquirir e administrada integridad del precisión con los objetivos y tomar medidas correctivas, según
implementar depósito de sea necesario, para mejorar la calidad de los datos del
configuración. depósito.

Gestión Construir, BAI11 Proyectos BAI11.01 Mantener un enfoque 1. Mantener y hacer cumplir un enfoque estándar para la
adquirir e gestionados estándar para la gestión de proyectos alineado con el entorno específico de la
implementar gestión de proyectos. empresa y con buenas prácticas basadas en procesos
definidos y el uso de la tecnología apropiada. Asegúrese de
que el enfoque cubra el ciclo de vida completo y las disciplinas
a seguir, incluida la gestión del alcance, los recursos, el riesgo,
el costo, la calidad, el tiempo, la comunicación, la
Gestión Construir, BAI11 Proyectos BAI11.01 Mantener un enfoque 2. Brindar capacitación adecuada en gestión de proyectos y
adquirir e gestionados estándar para la considerar la certificación para gerentes de proyectos.
implementar gestión de proyectos.

Gestión Construir, BAI11 Proyectos BAI11.01 Mantener un enfoque 3. Establecer una oficina de gestión de proyectos (PMO) que
adquirir e gestionados estándar para la mantenga el enfoque estándar para la gestión de programas y
implementar gestión de proyectos. proyectos en toda la organización. La PMO apoya todos los
proyectos mediante la creación y el mantenimiento de las
plantillas de documentación del proyecto requeridas,
brindando capacitación y mejores prácticas para los gerentes
de proyectos, rastreando métricas sobre el uso de las mejores
Gestión Construir, BAI11 Proyectos BAI11.01 Mantener un enfoque 4. Evaluar las lecciones aprendidas sobre el uso del enfoque
adquirir e gestionados estándar para la de gestión de proyectos. Actualice las buenas prácticas, las
implementar gestión de proyectos. herramientas y las plantillas en consecuencia.

254
Gestión Construir, BAI11 Proyectos BAI11.02 Poner en marcha e 1. Para crear una comprensión común del alcance del
adquirir e gestionados iniciar un proyecto. proyecto entre las partes interesadas, proporcióneles una
implementar declaración escrita clara que defina la naturaleza, el alcance y
los entregables de cada proyecto.

Gestión Construir, BAI11 Proyectos BAI11.02 Poner en marcha e 2. Asegurarse de que cada proyecto tenga uno o más
adquirir e gestionados iniciar un proyecto. patrocinadores con autoridad suficiente para gestionar la
implementar ejecución del proyecto dentro del programa general.

Gestión Construir, BAI11 Proyectos BAI11.02 Poner en marcha e 3. Asegúrese de que las partes interesadas y los
adquirir e gestionados iniciar un proyecto. patrocinadores clave dentro de la empresa (negocios y TI)
implementar acuerden y acepten los requisitos del proyecto, incluida la
definición de los criterios de éxito (aceptación) del proyecto y
los indicadores clave de rendimiento (KPI).

Gestión Construir, BAI11 Proyectos BAI11.02 Poner en marcha e 4. Designe un gerente dedicado para el proyecto. Asegúrese
adquirir e gestionados iniciar un proyecto. de que la persona tenga la comprensión necesaria de la
implementar tecnología y los negocios y las competencias y habilidades
correspondientes para administrar el proyecto de manera
efectiva y eficiente.

Gestión Construir, BAI11 Proyectos BAI11.02 Poner en marcha e 5. Asegúrese de que la definición del proyecto describa los
adquirir e gestionados iniciar un proyecto. requisitos para un plan de comunicación del proyecto que
implementar identifique las comunicaciones internas y externas del
proyecto.

Gestión Construir, BAI11 Proyectos BAI11.02 Poner en marcha e 6. Con la aprobación de las partes interesadas, mantener la
adquirir e gestionados iniciar un proyecto. definición del proyecto durante todo el proyecto, reflejando
implementar los requisitos cambiantes.

255
Gestión Construir, BAI11 Proyectos BAI11.02 Poner en marcha e 7. Para realizar un seguimiento de la ejecución de un
adquirir e gestionados iniciar un proyecto. proyecto, establezca mecanismos tales como informes
implementar regulares y revisiones de etapa, lanzamiento o fase, para que
ocurran de manera oportuna y con la aprobación adecuada.

Gestión Construir, BAI11 Proyectos BAI11.03 Gestionar la 1. Planificar cómo se identificarán, analizarán, comprometerán
adquirir e gestionados participación de las y gestionarán las partes interesadas dentro y fuera de la
implementar partes interesadas. empresa a lo largo del ciclo de vida del proyecto.

Gestión Construir, BAI11 Proyectos BAI11.03 Gestionar la 2. Identificar, involucrar y gestionar a las partes interesadas
adquirir e gestionados participación de las estableciendo y manteniendo niveles apropiados de
implementar partes interesadas. coordinación, comunicación y enlace para garantizar que
participen en el proyecto.

Gestión Construir, BAI11 Proyectos BAI11.03 Gestionar la 3. Analizar los intereses, requisitos y participación de las
adquirir e gestionados participación de las partes interesadas. Tome medidas correctivas según sea
implementar partes interesadas. necesario.

Gestión Construir, BAI11 Proyectos BAI11.04 Desarrollar y 1. Desarrollar un plan de proyecto que proporcione
adquirir e gestionados mantener el plan del información para permitir que la gerencia controle el progreso
implementar proyecto. del proyecto progresivamente. El plan debe incluir detalles de
los entregables del proyecto y los criterios de aceptación, los
recursos y responsabilidades internos y externos requeridos,
estructuras claras de desglose del trabajo y paquetes de
trabajo, estimaciones de los recursos requeridos,
Gestión Construir, BAI11 Proyectos BAI11.04 Desarrollar y 2. Mantener el plan del proyecto y cualquier plan dependiente
adquirir e gestionados mantener el plan del (p. ej., plan de riesgos, plan de calidad, plan de realización de
implementar proyecto. beneficios). Asegúrese de que los planes estén actualizados y
reflejen el progreso real y los cambios materiales aprobados.

256
Gestión Construir, BAI11 Proyectos BAI11.04 Desarrollar y 3. Asegurar que haya una comunicación efectiva de los planes
adquirir e gestionados mantener el plan del del proyecto y los informes de progreso. Asegúrese de que los
implementar proyecto. cambios realizados en los planes individuales se reflejen en
otros planes.

Gestión Construir, BAI11 Proyectos BAI11.04 Desarrollar y 4. Determinar las actividades, las interdependencias y la
adquirir e gestionados mantener el plan del colaboración y comunicación requeridas dentro del proyecto y
implementar proyecto. entre múltiples proyectos dentro de un programa.

Gestión Construir, BAI11 Proyectos BAI11.04 Desarrollar y 5. Asegúrese de que cada hito vaya acompañado de un
adquirir e gestionados mantener el plan del resultado significativo que requiera revisión y aprobación.
implementar proyecto.

Gestión Construir, BAI11 Proyectos BAI11.04 Desarrollar y 6. Establecer una línea de base del proyecto (p. ej., costo,
adquirir e gestionados mantener el plan del cronograma, alcance, calidad) que se revise, apruebe e
implementar proyecto. incorpore adecuadamente al plan integrado del proyecto.

Gestión Construir, BAI11 Proyectos BAI11.05 Gestionar la calidad 1. Proporcionar garantía de calidad para los entregables del
adquirir e gestionados del proyecto. proyecto, identificar propiedad y responsabilidades, procesos
implementar de revisión de calidad, criterios de éxito y métricas de
desempeño.

Gestión Construir, BAI11 Proyectos BAI11.05 Gestionar la calidad 2. Identificar las tareas y prácticas de aseguramiento
adquirir e gestionados del proyecto. requeridas para respaldar la acreditación de sistemas nuevos
implementar o modificados durante la planificación del proyecto. Incluirlos
en los planes integrados. Asegúrese de que las tareas
garanticen que los controles internos y las soluciones de
seguridad y privacidad cumplan con los requisitos definidos.

257
Gestión Construir, BAI11 Proyectos BAI11.05 Gestionar la calidad 3. Definir cualquier requisito para la validación y verificación
adquirir e gestionados del proyecto. independiente de la calidad de los entregables en el plan.
implementar

Gestión Construir, BAI11 Proyectos BAI11.05 Gestionar la calidad 4. Realizar actividades de aseguramiento y control de la
adquirir e gestionados del proyecto. calidad de acuerdo con el plan de gestión de la calidad y el
implementar SGC.

Gestión Construir, BAI11 Proyectos BAI11.06 Gestionar el riesgo del 1. Establecer un enfoque formal de gestión de riesgos del
adquirir e gestionados proyecto. proyecto alineado con el marco de ERM. Asegúrese de que el
implementar enfoque incluya la identificación, el análisis, la respuesta, la
mitigación, el seguimiento y el control del riesgo.

Gestión Construir, BAI11 Proyectos BAI11.06 Gestionar el riesgo del 2. Asignar al personal debidamente capacitado la
adquirir e gestionados proyecto. responsabilidad de ejecutar el proceso de gestión de riesgos
implementar del proyecto de la empresa dentro de un proyecto y
asegurarse de que esto se incorpore a las prácticas de
desarrollo de soluciones. Considere asignar este rol a un
equipo independiente, especialmente si se requiere un punto
de vista objetivo o si un proyecto se considera crítico.
Gestión Construir, BAI11 Proyectos BAI11.06 Gestionar el riesgo del 3. Identificar los propietarios de las acciones para evitar,
adquirir e gestionados proyecto. aceptar o mitigar el riesgo.
implementar

Gestión Construir, BAI11 Proyectos BAI11.06 Gestionar el riesgo del 4. Realizar la evaluación de riesgos del proyecto para
adquirir e gestionados proyecto. identificar y cuantificar el riesgo continuamente a lo largo del
implementar proyecto. Gestionar y comunicar el riesgo adecuadamente
dentro de la estructura de gobierno del proyecto.

258
Gestión Construir, BAI11 Proyectos BAI11.06 Gestionar el riesgo del 5. Reevaluar el riesgo del proyecto periódicamente, incluso al
adquirir e gestionados proyecto. inicio de cada fase principal del proyecto y como parte de las
implementar evaluaciones de solicitudes de cambios importantes.

Gestión Construir, BAI11 Proyectos BAI11.06 Gestionar el riesgo del 6. Mantener y revisar un registro de riesgos del proyecto de
adquirir e gestionados proyecto. todos los riesgos potenciales del proyecto y un registro de
implementar mitigación de riesgos de todos los problemas del proyecto y su
resolución. Analice el registro periódicamente en busca de
tendencias y problemas recurrentes para garantizar que se
corrijan las causas raíz.
Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 1. Establecer y utilizar un conjunto de criterios del proyecto
adquirir e gestionados de proyectos. que incluyan, entre otros, el alcance, el beneficio comercial
implementar esperado, el cronograma, la calidad, el costo y el nivel de
riesgo.

Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 2. Informar a las partes interesadas clave identificadas sobre
adquirir e gestionados de proyectos. el progreso del proyecto dentro del proyecto, las desviaciones
implementar de los criterios de rendimiento del proyecto clave establecidos
(tales como, entre otros, los beneficios comerciales
esperados) y los posibles efectos positivos y negativos en el
proyecto.
Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 3. Documentar y enviar cualquier cambio necesario a las
adquirir e gestionados de proyectos. partes interesadas clave del proyecto para su aprobación
implementar antes de su adopción. Comunicar los criterios revisados a los
gerentes de proyecto para su uso en futuros informes de
desempeño.

Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 4. Para los entregables producidos en cada iteración,
adquirir e gestionados de proyectos. lanzamiento o fase del proyecto, obtenga la aprobación y
implementar aprobación de los gerentes y usuarios designados en las
funciones comerciales y de TI afectadas.

259
Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 5. Base el proceso de aprobación en criterios de aceptación
adquirir e gestionados de proyectos. claramente definidos y acordados por las partes interesadas
implementar clave antes de que comience el trabajo en la fase del proyecto
o el entregable de la iteración.

Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 6. Evaluar el proyecto en las etapas principales acordadas,
adquirir e gestionados de proyectos. lanzamientos o iteraciones. Tome decisiones formales de
implementar proceder/no proceder en función de criterios de éxito críticos
predeterminados.

Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 7. Establecer y operar un sistema de control de cambios para
adquirir e gestionados de proyectos. el proyecto de modo que todos los cambios en la línea de
implementar base del proyecto (p. ej., alcance, beneficios comerciales
esperados, cronograma, calidad, costo, nivel de riesgo) se
revisen, aprueben e incorporen adecuadamente en el plan
integrado del proyecto. en consonancia con el marco de
gobernanza de programas y proyectos.
Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 8. Medir el desempeño del proyecto contra los criterios clave
adquirir e gestionados de proyectos. de desempeño del proyecto. Analice las desviaciones de los
implementar criterios de rendimiento del proyecto clave establecidos por
causa y evalúe los efectos positivos y negativos en el proyecto.

Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 9. Supervisar los cambios en el proyecto y revisar los criterios
adquirir e gestionados de proyectos. clave de rendimiento del proyecto existentes para determinar
implementar si aún representan medidas válidas de progreso.

Gestión Construir, BAI11 Proyectos BAI11.07 Seguimiento y control 10. Recomendar y monitorear acciones correctivas, cuando
adquirir e gestionados de proyectos. sea necesario, de acuerdo con el marco de gobernanza del
implementar proyecto.

260
Gestión Construir, BAI11 Proyectos BAI11.08 Administre los 1. Identificar las necesidades comerciales y de recursos de TI
adquirir e gestionados recursos del proyecto para el proyecto y mapear claramente las funciones y
implementar y los paquetes de responsabilidades apropiadas, con las autoridades de
trabajo. escalamiento y toma de decisiones acordadas y entendidas.

Gestión Construir, BAI11 Proyectos BAI11.08 Administre los 2. Identificar las habilidades requeridas y los requisitos de
adquirir e gestionados recursos del proyecto tiempo para todas las personas involucradas en las fases del
implementar y los paquetes de proyecto en relación con los roles definidos. Asignar personal
trabajo. a los roles en función de la información de habilidades
disponible (p. ej., matriz de habilidades de TI).

Gestión Construir, BAI11 Proyectos BAI11.08 Administre los 3. Utilizar recursos experimentados en gestión de proyectos y
adquirir e gestionados recursos del proyecto líderes de equipo con habilidades apropiadas para el tamaño,
implementar y los paquetes de la complejidad y el riesgo del proyecto.
trabajo.

Gestión Construir, BAI11 Proyectos BAI11.08 Administre los 4. Considere y defina claramente las funciones y
adquirir e gestionados recursos del proyecto responsabilidades de otras partes involucradas, incluidas
implementar y los paquetes de finanzas, legal, adquisiciones, recursos humanos, auditoría
trabajo. interna y cumplimiento.

Gestión Construir, BAI11 Proyectos BAI11.08 Administre los 5. Definir claramente y acordar la responsabilidad de
adquirir e gestionados recursos del proyecto adquisición y gestión de productos y servicios de terceros, y
implementar y los paquetes de gestionar las relaciones.
trabajo.

Gestión Construir, BAI11 Proyectos BAI11.08 Administre los 6. Identificar y autorizar la ejecución de la obra de acuerdo al
adquirir e gestionados recursos del proyecto plan del proyecto.
implementar y los paquetes de
trabajo.

261
Gestión Construir, BAI11 Proyectos BAI11.08 Administre los 7. Identifique las brechas del plan del proyecto y proporcione
adquirir e gestionados recursos del proyecto comentarios al gerente del proyecto para remediarlo.
implementar y los paquetes de
trabajo.

Gestión Construir, BAI11 Proyectos BAI11.09 Cerrar un proyecto o 1. Obtener la aceptación de las partes interesadas de los
adquirir e gestionados iteración. entregables del proyecto y transferir la propiedad.
implementar

Gestión Construir, BAI11 Proyectos BAI11.09 Cerrar un proyecto o 2. Definir y aplicar los pasos clave para el cierre del proyecto,
adquirir e gestionados iteración. incluidas las revisiones posteriores a la implementación que
implementar evalúan si un proyecto logró los resultados deseados.

Gestión Construir, BAI11 Proyectos BAI11.09 Cerrar un proyecto o 3. Planificar y ejecutar revisiones posteriores a la
adquirir e gestionados iteración. implementación para determinar si los proyectos generaron
implementar los resultados esperados. Mejorar la metodología del proceso
de gestión de proyectos y desarrollo de sistemas.

Gestión Construir, BAI11 Proyectos BAI11.09 Cerrar un proyecto o 4. Identificar, asignar, comunicar y realizar un seguimiento de
adquirir e gestionados iteración. las actividades incompletas requeridas para asegurar que el
implementar proyecto entregó los resultados requeridos en términos de
capacidades y los resultados contribuyeron como se esperaba
a los beneficios del programa.

Gestión Construir, BAI11 Proyectos BAI11.09 Cerrar un proyecto o 5. Regularmente, y al finalizar el proyecto, recopilar las
adquirir e gestionados iteración. lecciones aprendidas de los participantes del proyecto.
implementar Revíselos y las actividades clave que generaron beneficios y
valor. Analizar los datos y hacer recomendaciones para
mejorar el proyecto actual y el método de gestión de
proyectos para proyectos futuros.

262
Gestión Entrega, Servicio DSS01 Operaciones DSS01.01 Realizar 1. Desarrollar y mantener procedimientos operativos y
y Soporte administradas procedimientos actividades relacionadas para respaldar todos los servicios
operativos. prestados.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.01 Realizar 2. Mantener un cronograma de actividades operativas y
y Soporte administradas procedimientos realizar las actividades.
operativos.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.01 Realizar 3. Verificar que todos los datos esperados para el
y Soporte administradas procedimientos procesamiento se reciban y procesen de manera completa,
operativos. precisa y oportuna. Entregar resultados de acuerdo con los
requisitos de la empresa. Admite las necesidades de reinicio y
reprocesamiento. Asegúrese de que los usuarios reciban los
resultados correctos de manera segura y oportuna.
Gestión Entrega, Servicio DSS01 Operaciones DSS01.01 Realizar 4. Administrar el rendimiento y el rendimiento de las
y Soporte administradas procedimientos actividades programadas.
operativos.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.01 Realizar 5. Supervisar los incidentes y problemas relacionados con los
y Soporte administradas procedimientos procedimientos operativos y tomar las medidas adecuadas
operativos. para mejorar la confiabilidad de las tareas operativas
realizadas.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.02 Gestionar servicios de 1. Garantizar que los requisitos de la empresa para la
y Soporte administradas I&T subcontratados. seguridad de los procesos de información cumplan con los
contratos y SLA con terceros que alojan o brindan servicios.

263
Gestión Entrega, Servicio DSS01 Operaciones DSS01.02 Gestionar servicios de 2. Asegurarse de que los requisitos de procesamiento de TI y
y Soporte administradas I&T subcontratados. el negocio operativo de la empresa y las prioridades para la
prestación de servicios cumplan con los contratos y SLA con
terceros que alojan o brindan servicios.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.02 Gestionar servicios de 3. Integrar los procesos críticos internos de gestión de TI con
y Soporte administradas I&T subcontratados. los de los proveedores de servicios subcontratados. Esto debe
cubrir, por ejemplo, la planificación del rendimiento y la
capacidad, la gestión de cambios, la gestión de la
configuración, la gestión de solicitudes de servicio e
incidentes, la gestión de problemas, la gestión de la seguridad,
la continuidad del negocio y la supervisión del rendimiento y
Gestión Entrega, Servicio DSS01 Operaciones DSS01.02 Gestionar servicios de 4. Plan de auditoría independiente y garantía de los entornos
y Soporte administradas I&T subcontratados. operativos de los proveedores subcontratados para confirmar
que los requisitos acordados se están abordando
adecuadamente.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.03 Supervisar la 1. Registrar eventos. Identificar el nivel de información a
y Soporte administradas infraestructura de registrar, en base a una consideración de riesgo y desempeño.
I&T.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.03 Supervisar la 2. Identificar y mantener una lista de activos de
y Soporte administradas infraestructura de infraestructura que necesitan ser monitoreados, según la
I&T. criticidad del servicio y la relación entre los elementos de
configuración y los servicios que dependen de ellos.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.03 Supervisar la 3. Definir e implementar reglas que identifiquen y registren
y Soporte administradas infraestructura de incumplimientos de umbrales y condiciones de eventos.
I&T. Encuentre un equilibrio entre generar eventos menores falsos
y eventos significativos para que los registros de eventos no se
sobrecarguen con información innecesaria.

264
Gestión Entrega, Servicio DSS01 Operaciones DSS01.03 Supervisar la 4. Producir registros de eventos y conservarlos durante un
y Soporte administradas infraestructura de período apropiado para ayudar en futuras investigaciones.
I&T.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.03 Supervisar la 5. Asegúrese de que los tickets de incidentes se creen de
y Soporte administradas infraestructura de manera oportuna al monitorear las desviaciones identificadas
I&T. de los umbrales definidos.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.03 Supervisar la 6. Establecer procedimientos para monitorear los registros de
y Soporte administradas infraestructura de eventos. Llevar a cabo revisiones periódicas.
I&T.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.04 Administrar el medio 1. Identificar los desastres naturales y provocados por el
y Soporte administradas ambiente. hombre que podrían ocurrir en el área donde se ubican las
instalaciones de TI. Evaluar el efecto potencial en las
instalaciones de TI.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.04 Administrar el medio 2. Identificar cómo los equipos de I&T, incluidos los equipos
y Soporte administradas ambiente. móviles y fuera del sitio, se protegen contra las amenazas
ambientales. Asegúrese de que la política limite o excluya
comer, beber y fumar en áreas sensibles, y prohíba el
almacenamiento de papelería y otros suministros que
representen un riesgo de incendio dentro de las salas de
computadoras.
Gestión Entrega, Servicio DSS01 Operaciones DSS01.04 Administrar el medio 3. Mantenga los sitios de TI y las salas de servidores limpios y
y Soporte administradas ambiente. en condiciones seguras en todo momento (es decir, sin
desorden, sin cajas de papel o cartón, sin cubos de basura
llenos, sin productos químicos o materiales inflamables).

265
Gestión Entrega, Servicio DSS01 Operaciones DSS01.04 Administrar el medio 4. Ubicar y construir instalaciones de TI para minimizar y
y Soporte administradas ambiente. mitigar la susceptibilidad a amenazas ambientales (p. ej., robo,
aire, fuego, humo, agua, vibraciones, terror, vandalismo,
productos químicos, explosivos). Considere zonas de
seguridad específicas y/o celdas a prueba de incendios (p. ej.,
ubicar entornos/servidores de producción y desarrollo lejos
unos de otros).
Gestión Entrega, Servicio DSS01 Operaciones DSS01.04 Administrar el medio 5. Comparar medidas y planes de contingencia con los
y Soporte administradas ambiente. requisitos de la póliza de seguro e informar los resultados.
Aborde los puntos de incumplimiento de manera oportuna.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.04 Administrar el medio 6. Responder a alarmas ambientales y otras notificaciones.
y Soporte administradas ambiente. Documente y pruebe los procedimientos, que deben incluir la
priorización de alarmas y el contacto con las autoridades
locales de respuesta a emergencias. Capacitar al personal en
estos procedimientos.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.04 Administrar el medio 7. Supervise y mantenga periódicamente los dispositivos que
y Soporte administradas ambiente. detectan de forma proactiva las amenazas ambientales (p. ej.,
fuego, agua, humo, humedad).

Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 1. Examinar los requisitos de las instalaciones de TI para la
y Soporte administradas instalaciones. protección contra fluctuaciones y cortes de energía, junto con
otros requisitos de planificación de la continuidad del negocio.
Adquirir equipo de suministro ininterrumpido adecuado (p.
ej., baterías, generadores) para respaldar la planificación de la
continuidad del negocio.
Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 2. Pruebe periódicamente los mecanismos del sistema de
y Soporte administradas instalaciones. alimentación ininterrumpida. Asegúrese de que la energía se
pueda cambiar al suministro sin ningún efecto significativo en
las operaciones comerciales.

266
Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 3. Garantizar que las instalaciones que albergan los sistemas
y Soporte administradas instalaciones. de I&T tengan más de una fuente de servicios públicos
dependientes (p. ej., energía, telecomunicaciones, agua, gas).
Separar la entrada física de cada utilidad.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 4. Confirme que el cableado externo al sitio de TI esté ubicado
y Soporte administradas instalaciones. bajo tierra o tenga una protección alternativa adecuada.
Determine que el cableado dentro del sitio de TI esté
contenido dentro de conductos seguros y que el acceso a los
gabinetes de cableado esté restringido al personal autorizado.
Proteja adecuadamente el cableado contra daños causados
por fuego, humo, agua, interceptación e interferencia.
Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 5. Asegúrese de que el cableado y la interconexión física
y Soporte administradas instalaciones. (datos y teléfono) estén estructurados y organizados. Las
estructuras de cableado y conductos deben documentarse (p.
ej., planos de construcción y diagramas de cableado).

Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 6. De manera regular, eduque al personal sobre las leyes,
y Soporte administradas instalaciones. reglamentos y pautas relevantes de salud y seguridad. Educar
al personal en simulacros de incendio y rescate para
garantizar el conocimiento y las acciones tomadas en caso de
incendio o incidentes similares.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 7. Asegúrese de que los sitios y equipos de TI se mantengan
y Soporte administradas instalaciones. de acuerdo con las especificaciones y los intervalos de servicio
recomendados por el proveedor. Asegúrese de que el
mantenimiento sea realizado únicamente por personal
autorizado.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 8. Analizar los sistemas de alta disponibilidad de las
y Soporte administradas instalaciones. instalaciones que albergan los requisitos de redundancia y
cableado de conmutación por error (externo e interno).

267
Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 9. Asegurarse de que los sitios e instalaciones de TI cumplan
y Soporte administradas instalaciones. continuamente con las leyes, regulaciones, pautas y
especificaciones de los proveedores de salud y seguridad
pertinentes.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 10. Registrar, monitorear, gestionar y resolver incidentes de
y Soporte administradas instalaciones. las instalaciones de acuerdo con el proceso de gestión de
incidentes de I&T. Poner a disposición informes sobre
incidentes en las instalaciones para los cuales las leyes y
reglamentos exigen la divulgación.

Gestión Entrega, Servicio DSS01 Operaciones DSS01.05 Administrar 11. Analizar las alteraciones físicas de los sitios o instalaciones
y Soporte administradas instalaciones. de TI para reevaluar el riesgo ambiental (p. ej., incendios o
daños por agua). Informar los resultados de este análisis a la
gestión de instalaciones y continuidad del negocio.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.01 Definir esquemas de 1. Definir esquemas de clasificación y priorización de
y Soporte incidentes de clasificación de incidentes y solicitudes de servicio, y criterios para el registro
servicios incidencias y de problemas. Utilice esta información para garantizar
gestionados solicitudes de enfoques consistentes para manejar e informar a los usuarios
servicio. sobre problemas y realizar análisis de tendencias.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.01 Definir esquemas de 2. Definir modelos de incidentes para errores conocidos para
y Soporte incidentes de clasificación de permitir una resolución eficiente y efectiva.
servicios incidencias y
gestionados solicitudes de
servicio.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.01 Definir esquemas de 3. Defina modelos de solicitud de servicio según el tipo de
y Soporte incidentes de clasificación de solicitud de servicio para habilitar la autoayuda y un servicio
servicios incidencias y eficiente para solicitudes estándar.
gestionados solicitudes de
servicio.

268
Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.01 Definir esquemas de 4. Definir reglas y procedimientos de escalada de incidentes,
y Soporte incidentes de clasificación de especialmente para incidentes importantes e incidentes de
servicios incidencias y seguridad.
gestionados solicitudes de
servicio.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.01 Definir esquemas de 5. Definir fuentes de conocimiento sobre incidentes y
y Soporte incidentes de clasificación de solicitudes y describir cómo utilizarlas.
servicios incidencias y
gestionados solicitudes de
servicio.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.02 Registrar, clasificar y 1. Registrar todas las solicitudes de servicio e incidentes,
y Soporte incidentes de priorizar solicitudes e registrando toda la información relevante, para que puedan
servicios incidencias. manejarse de manera efectiva y se pueda mantener un
gestionados registro histórico completo.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.02 Registrar, clasificar y 2. Para habilitar el análisis de tendencias, clasifique las
y Soporte incidentes de priorizar solicitudes e solicitudes de servicio y los incidentes identificando el tipo y la
servicios incidencias. categoría.
gestionados

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.02 Registrar, clasificar y 3. Priorizar las solicitudes de servicio y los incidentes en
y Soporte incidentes de priorizar solicitudes e función de la definición de servicio SLA de impacto comercial y
servicios incidencias. urgencia.
gestionados

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.03 Verificar, aprobar y 1. Verificar el derecho a las solicitudes de servicio utilizando,
y Soporte incidentes de cumplir con las cuando sea posible, un flujo de proceso predefinido y cambios
servicios solicitudes de estándar.
gestionados servicio.

269
Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.03 Verificar, aprobar y 2. Obtener aprobación o aprobación financiera y funcional, si
y Soporte incidentes de cumplir con las es necesario, o aprobaciones predefinidas para cambios
servicios solicitudes de estándar acordados.
gestionados servicio.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.03 Verificar, aprobar y 3. Cumplir con las solicitudes realizando el procedimiento de
y Soporte incidentes de cumplir con las solicitud seleccionado. Siempre que sea posible, utilice menús
servicios solicitudes de automatizados de autoayuda y modelos de solicitud
gestionados servicio. predefinidos para elementos solicitados con frecuencia.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.04 Investigar, 1. Identificar y describir síntomas relevantes para establecer
y Soporte incidentes de diagnosticar y asignar las causas más probables de los incidentes. Consulte los
servicios incidentes. recursos de conocimiento disponibles (incluidos errores y
gestionados problemas conocidos) para identificar posibles resoluciones
de incidentes (soluciones temporales y/o soluciones
permanentes).
Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.04 Investigar, 2. Si aún no existe un problema relacionado o un error
y Soporte incidentes de diagnosticar y asignar conocido y si el incidente cumple con los criterios acordados
servicios incidentes. para el registro de problemas, registre un nuevo problema.
gestionados

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.04 Investigar, 3. Asigne incidentes a funciones especializadas si se necesita
y Soporte incidentes de diagnosticar y asignar una experiencia más profunda. Involucrar al nivel apropiado
servicios incidentes. de gestión, donde y si es necesario.
gestionados

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.05 Resolver y 1. Seleccionar y aplicar las resoluciones de incidentes más
y Soporte incidentes de recuperarse de adecuadas (solución temporal y/o solución permanente).
servicios incidentes.
gestionados

270
Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.05 Resolver y 2. Registrar si se utilizaron soluciones alternativas para la
y Soporte incidentes de recuperarse de resolución de incidentes.
servicios incidentes.
gestionados

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.05 Resolver y 3. Realice acciones de recuperación, si es necesario.
y Soporte incidentes de recuperarse de
servicios incidentes.
gestionados

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.05 Resolver y 4. Documentar la resolución de incidentes y evaluar si la
y Soporte incidentes de recuperarse de resolución se puede utilizar como fuente de conocimiento en
servicios incidentes. el futuro.
gestionados

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.06 Cerrar solicitudes de 1. Verificar con los usuarios afectados que la solicitud de
y Soporte incidentes de servicio e incidencias. servicio ha sido atendida satisfactoriamente o la incidencia ha
servicios sido resuelta satisfactoriamente y en un plazo de tiempo
gestionados acordado/aceptable.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.06 Cerrar solicitudes de 2. Cerrar solicitudes de servicio e incidencias.
y Soporte incidentes de servicio e incidencias.
servicios
gestionados

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.07 Realice un 1. Supervisar y realizar un seguimiento de las escalaciones y
y Soporte incidentes de seguimiento del resoluciones de incidentes y solicitar procedimientos de
servicios estado y genere manejo para avanzar hacia la resolución o finalización.
gestionados informes.

271
Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.07 Realice un 2. Identificar las partes interesadas en la información y sus
y Soporte incidentes de seguimiento del necesidades de datos o informes. Identificar la frecuencia y el
servicios estado y genere medio de los informes.
gestionados informes.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.07 Realice un 3. Producir y distribuir informes oportunos o proporcionar
y Soporte incidentes de seguimiento del acceso controlado a datos en línea.
servicios estado y genere
gestionados informes.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.07 Realice un 4. Analizar incidentes y solicitudes de servicio por categoría y
y Soporte incidentes de seguimiento del tipo. Establezca tendencias e identifique patrones de
servicios estado y genere problemas recurrentes, incumplimientos de SLA o
gestionados informes. ineficiencias.

Gestión Entrega, Servicio DSS02 Solicitudes e DSS02.07 Realice un 5. Utilice la información como entrada para la planificación de
y Soporte incidentes de seguimiento del la mejora continua.
servicios estado y genere
gestionados informes.

Gestión Entrega, Servicio DSS03 Problemas DSS03.01 Identificar y clasificar 1. Identificar problemas a través de la correlación de informes
y Soporte gestionados problemas. de incidentes, registros de errores y otros recursos de
identificación de problemas.

Gestión Entrega, Servicio DSS03 Problemas DSS03.01 Identificar y clasificar 2. Manejar todos los problemas formalmente con acceso a
y Soporte gestionados problemas. todos los datos relevantes. Incluya información del sistema de
gestión de cambios de TI y configuración/activos de TI y
detalles de incidentes.

272
Gestión Entrega, Servicio DSS03 Problemas DSS03.01 Identificar y clasificar 3. Definir grupos de apoyo apropiados para ayudar con la
y Soporte gestionados problemas. identificación de problemas, análisis de causa raíz y
determinación de soluciones para apoyar la gestión de
problemas. Determine grupos de soporte en función de
categorías predefinidas, como hardware, red, software,
aplicaciones y software de soporte.
Gestión Entrega, Servicio DSS03 Problemas DSS03.01 Identificar y clasificar 4. Definir los niveles de prioridad a través de consultas con el
y Soporte gestionados problemas. negocio para garantizar que la identificación del problema y el
análisis de la causa raíz se manejen de manera oportuna de
acuerdo con los SLA acordados. Base los niveles de prioridad
en el impacto comercial y la urgencia.

Gestión Entrega, Servicio DSS03 Problemas DSS03.01 Identificar y clasificar 5. Informe el estado de los problemas identificados a la mesa
y Soporte gestionados problemas. de servicio para que los clientes y la administración de TI
puedan mantenerse informados.

Gestión Entrega, Servicio DSS03 Problemas DSS03.01 Identificar y clasificar 6. Mantener un catálogo único de gestión de problemas para
y Soporte gestionados problemas. registrar y reportar los problemas identificados. Utilice el
catálogo para establecer pistas de auditoría de los procesos de
gestión de problemas, incluido el estado de cada problema (es
decir, abierto, reabierto, en curso o cerrado).

Gestión Entrega, Servicio DSS03 Problemas DSS03.02 Investigar y 1. Identifique los problemas que pueden ser errores conocidos
y Soporte gestionados diagnosticar comparando los datos de incidentes con la base de datos de
problemas. errores conocidos y sospechados (p. ej., los comunicados por
proveedores externos). Clasificar los problemas como errores
conocidos.

Gestión Entrega, Servicio DSS03 Problemas DSS03.02 Investigar y 2. Asocie los elementos de configuración afectados al error
y Soporte gestionados diagnosticar establecido/conocido.
problemas.

273
Gestión Entrega, Servicio DSS03 Problemas DSS03.02 Investigar y 3. Producir informes para comunicar el progreso en la
y Soporte gestionados diagnosticar resolución de problemas y monitorear el impacto continuo de
problemas. los problemas no resueltos. Supervise el estado del proceso
de gestión de problemas a lo largo de su ciclo de vida, incluida
la entrada de cambios de TI y la gestión de la configuración.

Gestión Entrega, Servicio DSS03 Problemas DSS03.03 Levantar errores 1. Tan pronto como se identifiquen las causas raíz de los
y Soporte gestionados conocidos. problemas, cree registros de errores conocidos y desarrolle
una solución alternativa adecuada.

Gestión Entrega, Servicio DSS03 Problemas DSS03.03 Levantar errores 2. Identifique, evalúe, priorice y procese (a través de la gestión
y Soporte gestionados conocidos. de cambios de TI) soluciones a errores conocidos, en función
de un caso comercial de costo/beneficio y el impacto
comercial y la urgencia.

Gestión Entrega, Servicio DSS03 Problemas DSS03.04 Resolver y cerrar 1. Cierre los registros de problemas después de la
y Soporte gestionados problemas. confirmación de la eliminación exitosa del error conocido o
después de un acuerdo con la empresa sobre cómo manejar el
problema de forma alternativa.

Gestión Entrega, Servicio DSS03 Problemas DSS03.04 Resolver y cerrar 2. Informar a la mesa de servicio del cronograma para el
y Soporte gestionados problemas. cierre del problema (p. ej., el cronograma para corregir los
errores conocidos, la posible solución o el hecho de que el
problema permanecerá hasta que se implemente el cambio) y
las consecuencias del enfoque adoptado. Mantener
informados a los usuarios y clientes afectados según
corresponda.
Gestión Entrega, Servicio DSS03 Problemas DSS03.04 Resolver y cerrar 3. A lo largo del proceso de resolución, obtenga informes
y Soporte gestionados problemas. periódicos de la gestión de cambios de TI sobre el progreso en
la resolución de problemas y errores.

274
Gestión Entrega, Servicio DSS03 Problemas DSS03.04 Resolver y cerrar 4. Supervisar el impacto continuo de los problemas y errores
y Soporte gestionados problemas. conocidos en los servicios.

Gestión Entrega, Servicio DSS03 Problemas DSS03.04 Resolver y cerrar 5. Revisar y confirmar el éxito de las resoluciones de los
y Soporte gestionados problemas. principales problemas.

Gestión Entrega, Servicio DSS03 Problemas DSS03.04 Resolver y cerrar 6. Asegúrese de que el conocimiento aprendido de la revisión
y Soporte gestionados problemas. se incorpore en una reunión de revisión del servicio con el
cliente comercial.

Gestión Entrega, Servicio DSS03 Problemas DSS03.05 Realizar una gestión 1. Capturar la información del problema relacionada con los
y Soporte gestionados proactiva de cambios e incidentes de I&T y comunicarla a las partes
problemas. interesadas clave. Comuníquese a través de informes y
reuniones periódicas entre los propietarios de procesos de
administración de incidentes, problemas, cambios y
configuraciones para considerar problemas recientes y
posibles acciones correctivas.
Gestión Entrega, Servicio DSS03 Problemas DSS03.05 Realizar una gestión 2. Asegúrese de que los propietarios y administradores de
y Soporte gestionados proactiva de procesos de la administración de incidentes, problemas,
problemas. cambios y configuraciones se reúnan regularmente para
analizar los problemas conocidos y los cambios planificados
para el futuro.

Gestión Entrega, Servicio DSS03 Problemas DSS03.05 Realizar una gestión 3. Identificar e iniciar soluciones sostenibles (arreglos
y Soporte gestionados proactiva de permanentes) que aborden la causa raíz. Plantear solicitudes
problemas. de cambio a través de los procesos de gestión de cambios
establecidos.

275
Gestión Entrega, Servicio DSS03 Problemas DSS03.05 Realizar una gestión 4. Permitir que la empresa controle los costos totales de los
y Soporte gestionados proactiva de problemas, capturar los esfuerzos de cambio resultantes de
problemas. las actividades del proceso de gestión de problemas (p. ej.,
soluciones a problemas y errores conocidos) e informar sobre
ellos.

Gestión Entrega, Servicio DSS03 Problemas DSS03.05 Realizar una gestión 5. Producir informes para monitorear la resolución de
y Soporte gestionados proactiva de problemas contra los requisitos comerciales y los SLA.
problemas. Asegúrese de escalar adecuadamente los problemas, como
escalar a un nivel de gestión superior de acuerdo con los
criterios acordados, ponerse en contacto con proveedores
externos o referirse al consejo asesor de cambios para
aumentar la prioridad de una solicitud urgente de cambio
Gestión Entrega, Servicio DSS03 Problemas DSS03.05 Realizar una gestión 6. Para optimizar el uso de los recursos y reducir las soluciones
y Soporte gestionados proactiva de alternativas, realice un seguimiento de las tendencias de los
problemas. problemas.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.01 Definir la política de 1. Identificar los procesos comerciales internos y
y Soporte gestionada continuidad del subcontratados y las actividades de servicio que son críticas
negocio, objetivos y para las operaciones de la empresa o necesarias para cumplir
alcance. con las obligaciones legales y/o contractuales.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.01 Definir la política de 2. Identificar las partes interesadas clave y los roles y
y Soporte gestionada continuidad del responsabilidades para definir y acordar la política y el alcance
negocio, objetivos y de la continuidad.
alcance.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.01 Definir la política de 3. Definir y documentar los objetivos de política mínimos
y Soporte gestionada continuidad del acordados y el alcance para la resiliencia empresarial.
negocio, objetivos y
alcance.

276
Gestión Entrega, Servicio DSS04 Continuidad DSS04.01 Definir la política de 4. Identificar los procesos empresariales de apoyo esenciales y
y Soporte gestionada continuidad del los servicios de I&T relacionados.
negocio, objetivos y
alcance.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.02 Mantener la 1. Identificar escenarios potenciales que puedan dar lugar a
y Soporte gestionada resiliencia eventos que podrían causar incidentes disruptivos
empresarial. significativos.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.02 Mantener la 2. Llevar a cabo un análisis de impacto comercial para evaluar
y Soporte gestionada resiliencia el impacto a lo largo del tiempo de una interrupción de las
empresarial. funciones comerciales críticas y el efecto que tendría una
interrupción en ellas.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.02 Mantener la 3. Establecer el tiempo mínimo requerido para recuperar un
y Soporte gestionada resiliencia proceso de negocios y soporte de I&T, basado en una
empresarial. duración aceptable de interrupción del negocio y una
interrupción máxima tolerable.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.02 Mantener la 4. Determinar las condiciones y dueños de las decisiones clave
y Soporte gestionada resiliencia que harán invocar los planes de continuidad.
empresarial.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.02 Mantener la 5. Evaluar la probabilidad de amenazas que podrían causar la
y Soporte gestionada resiliencia pérdida de continuidad del negocio. Identificar medidas que
empresarial. reducirán la probabilidad y el impacto a través de una mejor
prevención y una mayor resiliencia.

277
Gestión Entrega, Servicio DSS04 Continuidad DSS04.02 Mantener la 6. Analizar los requisitos de continuidad para identificar
y Soporte gestionada resiliencia posibles opciones comerciales y técnicas estratégicas.
empresarial.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.02 Mantener la 7. Identificar los requisitos de recursos y costos para cada
y Soporte gestionada resiliencia opción técnica estratégica y hacer recomendaciones
empresarial. estratégicas.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.02 Mantener la 8. Obtener la aprobación comercial ejecutiva para las
y Soporte gestionada resiliencia opciones estratégicas seleccionadas.
empresarial.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.03 Desarrollar e 1. Definir las acciones de respuesta a incidentes y las
y Soporte gestionada implementar una comunicaciones que se tomarán en caso de interrupción.
respuesta de Definir funciones y responsabilidades relacionadas, incluida la
continuidad del responsabilidad por la política y la implementación.
negocio.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.03 Desarrollar e 2. Asegúrese de que los proveedores clave y los socios
y Soporte gestionada implementar una externos tengan planes de continuidad efectivos. Obtener
respuesta de evidencia auditada según sea necesario.
continuidad del
negocio.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.03 Desarrollar e 3. Definir las condiciones y los procedimientos de
y Soporte gestionada implementar una recuperación que permitirían la reanudación del
respuesta de procesamiento comercial. Incluir la actualización y
continuidad del reconciliación de bases de datos de información para
negocio. preservar la integridad de la información.

278
Gestión Entrega, Servicio DSS04 Continuidad DSS04.03 Desarrollar e 4. Desarrollar y mantener BCP y DRP operativos que
y Soporte gestionada implementar una contengan los procedimientos a seguir para permitir la
respuesta de operación continua de procesos comerciales críticos y/o
continuidad del arreglos de procesamiento temporal. Incluir enlaces a planes
negocio. de proveedores de servicios subcontratados.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.03 Desarrollar e 5. Definir y documentar los recursos necesarios para soportar
y Soporte gestionada implementar una los procedimientos de continuidad y recuperación,
respuesta de considerando personas, instalaciones e infraestructura TI.
continuidad del
negocio.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.03 Desarrollar e 6. Definir y documentar los requisitos de respaldo de
y Soporte gestionada implementar una información necesarios para respaldar los planes. Incluya
respuesta de planos y documentos en papel, así como archivos de datos.
continuidad del Considere la necesidad de seguridad y almacenamiento fuera
negocio. del sitio.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.03 Desarrollar e 7. Determinar las habilidades requeridas para las personas
y Soporte gestionada implementar una involucradas en la ejecución del plan y los procedimientos.
respuesta de
continuidad del
negocio.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.03 Desarrollar e 8. Distribuir los planos y la documentación de respaldo de
y Soporte gestionada implementar una manera segura a las partes interesadas debidamente
respuesta de autorizadas. Asegúrese de que los planes y la documentación
continuidad del estén accesibles en todos los escenarios de desastre.
negocio.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.04 Ejercer, probar y 1. Definir objetivos para ejercitar y probar los sistemas
y Soporte gestionada revisar el plan de comerciales, técnicos, logísticos, administrativos,
continuidad del procedimentales y operativos del plan para verificar la
negocio (BCP) y el integridad del BCP y DRP en el cumplimiento del riesgo
plan de respuesta comercial.
ante desastres (DRP).

279
Gestión Entrega, Servicio DSS04 Continuidad DSS04.04 Ejercer, probar y 2. Definir y acordar ejercicios de partes interesadas que sean
y Soporte gestionada revisar el plan de realistas y validen los procedimientos de continuidad. Incluya
continuidad del roles y responsabilidades y arreglos de retención de datos que
negocio (BCP) y el causen una interrupción mínima en los procesos comerciales.
plan de respuesta
ante desastres (DRP).
Gestión Entrega, Servicio DSS04 Continuidad DSS04.04 Ejercer, probar y 3. Asignar roles y responsabilidades para realizar ejercicios y
y Soporte gestionada revisar el plan de pruebas del plan de continuidad.
continuidad del
negocio (BCP) y el
plan de respuesta
ante desastres (DRP).
Gestión Entrega, Servicio DSS04 Continuidad DSS04.04 Ejercer, probar y 4. Programar ejercicios y actividades de prueba según lo
y Soporte gestionada revisar el plan de definido en los planes de continuidad.
continuidad del
negocio (BCP) y el
plan de respuesta
ante desastres (DRP).
Gestión Entrega, Servicio DSS04 Continuidad DSS04.04 Ejercer, probar y 5. Llevar a cabo un informe y análisis posterior al ejercicio
y Soporte gestionada revisar el plan de para considerar el logro.
continuidad del
negocio (BCP) y el
plan de respuesta
ante desastres (DRP).
Gestión Entrega, Servicio DSS04 Continuidad DSS04.04 Ejercer, probar y 6. Con base en los resultados de la revisión, desarrollar
y Soporte gestionada revisar el plan de recomendaciones para mejorar los planes de continuidad
continuidad del actuales.
negocio (BCP) y el
plan de respuesta
ante desastres (DRP).
Gestión Entrega, Servicio DSS04 Continuidad DSS04.05 Revisar, mantener y 1. De manera regular, revise los planes de continuidad y la
y Soporte gestionada mejorar los planes de capacidad contra cualquier suposición realizada y los objetivos
continuidad. operativos y estratégicos comerciales actuales.

280
Gestión Entrega, Servicio DSS04 Continuidad DSS04.05 Revisar, mantener y 2. Revisar periódicamente los planes de continuidad para
y Soporte gestionada mejorar los planes de considerar el impacto de los cambios nuevos o importantes en
continuidad. la organización empresarial, los procesos comerciales, los
acuerdos de subcontratación, las tecnologías, la
infraestructura, los sistemas operativos y los sistemas de
aplicaciones.
Gestión Entrega, Servicio DSS04 Continuidad DSS04.05 Revisar, mantener y 3. Considere si se puede requerir una evaluación de impacto
y Soporte gestionada mejorar los planes de comercial revisada, dependiendo de la naturaleza del cambio.
continuidad.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.05 Revisar, mantener y 4. Recomendar cambios en políticas, planes, procedimientos,
y Soporte gestionada mejorar los planes de infraestructura y roles y responsabilidades. Comuníquelos
continuidad. según corresponda para su aprobación y procesamiento por
parte de la gerencia a través del proceso de gestión de
cambios de TI.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.06 Llevar a cabo la 1. Implementar la concientización y capacitación sobre BCP y
y Soporte gestionada capacitación del plan DRP.
de continuidad.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.06 Llevar a cabo la 2. Definir y mantener los requisitos y planes de capacitación
y Soporte gestionada capacitación del plan para quienes realizan la planificación de la continuidad, las
de continuidad. evaluaciones de impacto, las evaluaciones de riesgos, la
comunicación con los medios y la respuesta a incidentes.
Asegurar que los planes de capacitación consideren la
frecuencia de la capacitación y los mecanismos de entrega de
la capacitación.
Gestión Entrega, Servicio DSS04 Continuidad DSS04.06 Llevar a cabo la 3. Desarrollar competencias a partir de la formación práctica,
y Soporte gestionada capacitación del plan incluida la participación en ejercicios y pruebas.
de continuidad.

281
Gestión Entrega, Servicio DSS04 Continuidad DSS04.06 Llevar a cabo la 4. Con base en los resultados del ejercicio y las pruebas,
y Soporte gestionada capacitación del plan monitorear las habilidades y competencias.
de continuidad.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.07 Administrar arreglos 1. Realizar copias de seguridad de sistemas, aplicaciones,
y Soporte gestionada de respaldo. datos y documentación de acuerdo con un cronograma
definido. Considere la frecuencia (mensual, semanal, diaria,
etc.), el modo de copia de seguridad (p. ej., espejo de disco
para copias de seguridad en tiempo real frente a DVD-ROM
para retención a largo plazo), tipo de copia de seguridad (p.
ej., completa o incremental), y tipo de medios. Considere
Gestión Entrega, Servicio DSS04 Continuidad DSS04.07 Administrar arreglos 2. Definir los requisitos para el almacenamiento en el sitio y
y Soporte gestionada de respaldo. fuera del sitio de los datos de respaldo que cumplan con los
requisitos comerciales. Tenga en cuenta la accesibilidad
necesaria para realizar una copia de seguridad de los datos.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.07 Administrar arreglos 3. Pruebe y actualice periódicamente los datos archivados y
y Soporte gestionada de respaldo. de copia de seguridad.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.07 Administrar arreglos 4. Garantizar que los sistemas, las aplicaciones, los datos y la
y Soporte gestionada de respaldo. documentación mantenidos o procesados por terceros estén
adecuadamente respaldados o protegidos. Considere solicitar
la devolución de copias de seguridad de terceros. Considere
acuerdos de depósito o depósito en garantía.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.08 Llevar a cabo una 1. Evaluar el cumplimiento del BCP y DRP documentados.
y Soporte gestionada revisión posterior a la
reanudación.

282
Gestión Entrega, Servicio DSS04 Continuidad DSS04.08 Llevar a cabo una 2. Determinar la efectividad de los planes, capacidades de
y Soporte gestionada revisión posterior a la continuidad, roles y responsabilidades, habilidades y
reanudación. competencias, resiliencia al incidente, infraestructura técnica
y estructuras y relaciones organizacionales.

Gestión Entrega, Servicio DSS04 Continuidad DSS04.08 Llevar a cabo una 3. Identificar debilidades u omisiones en los planes y
y Soporte gestionada revisión posterior a la capacidades y hacer recomendaciones de mejora. Obtenga la
reanudación. aprobación de la gerencia para cualquier cambio en los planes
y solicítelo a través del proceso de control de cambios de la
empresa.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.01 Protéjase contra el 1. Instalar y activar herramientas de protección de software
y Soporte seguridad malware. malicioso en todas las instalaciones de procesamiento, con
gestionados archivos de definición de software malicioso que se actualizan
según sea necesario (automática o semiautomáticamente).

Gestión Entrega, Servicio DSS05 Servicios de DSS05.01 Protéjase contra el 2. Filtre el tráfico entrante, como correo electrónico y
y Soporte seguridad malware. descargas, para protegerse contra información no solicitada
gestionados (por ejemplo, spyware, correos electrónicos de phishing).

Gestión Entrega, Servicio DSS05 Servicios de DSS05.01 Protéjase contra el 3. Comunicar el conocimiento del software malicioso y hacer
y Soporte seguridad malware. cumplir los procedimientos y responsabilidades de
gestionados prevención. Realice capacitaciones periódicas sobre el
malware en el correo electrónico y el uso de Internet.
Capacite a los usuarios para que no abran, pero informen,
correos electrónicos sospechosos y no instalen software
compartido o no aprobado.
Gestión Entrega, Servicio DSS05 Servicios de DSS05.01 Protéjase contra el 4. Distribuya todo el software de protección de forma
y Soporte seguridad malware. centralizada (nivel de versión y parche) utilizando la
gestionados configuración centralizada y la administración de cambios de
TI.

283
Gestión Entrega, Servicio DSS05 Servicios de DSS05.01 Protéjase contra el 5. Revisar y evaluar periódicamente la información sobre
y Soporte seguridad malware. nuevas amenazas potenciales (p. ej., revisar los avisos de
gestionados seguridad de los productos y servicios de los proveedores).

Gestión Entrega, Servicio DSS05 Servicios de DSS05.02 Administrar la 1. Permita que solo los dispositivos autorizados tengan acceso
y Soporte seguridad seguridad de la red y a la información corporativa y la red empresarial. Configure
gestionados la conectividad. estos dispositivos para forzar la entrada de contraseña.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.02 Administrar la 2. Implementar mecanismos de filtrado de red, como firewalls
y Soporte seguridad seguridad de la red y y software de detección de intrusos. Aplique políticas
gestionados la conectividad. apropiadas para controlar el tráfico entrante y saliente.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.02 Administrar la 3. Aplicar protocolos de seguridad aprobados a la conectividad
y Soporte seguridad seguridad de la red y de la red.
gestionados la conectividad.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.02 Administrar la 4. Configurar equipos de red de forma segura.
y Soporte seguridad seguridad de la red y
gestionados la conectividad.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.02 Administrar la 5. Cifrar la información en tránsito según su clasificación.
y Soporte seguridad seguridad de la red y
gestionados la conectividad.

284
Gestión Entrega, Servicio DSS05 Servicios de DSS05.02 Administrar la 6. Con base en las evaluaciones de riesgos y los requisitos
y Soporte seguridad seguridad de la red y comerciales, establezca y mantenga una política para la
gestionados la conectividad. seguridad de la conectividad.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.02 Administrar la 7. Establecer mecanismos confiables para apoyar la
y Soporte seguridad seguridad de la red y transmisión y recepción segura de información.
gestionados la conectividad.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.02 Administrar la 8. Realice pruebas de penetración periódicas para determinar
y Soporte seguridad seguridad de la red y la idoneidad de la protección de la red.
gestionados la conectividad.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.02 Administrar la 9. Llevar a cabo pruebas periódicas de seguridad del sistema
y Soporte seguridad seguridad de la red y para determinar la idoneidad de la protección del sistema.
gestionados la conectividad.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 1. Configurar sistemas operativos de forma segura.
y Soporte seguridad seguridad de los
gestionados puntos finales.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 2. Implementar mecanismos de bloqueo de dispositivos.
y Soporte seguridad seguridad de los
gestionados puntos finales.

285
Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 3. Gestionar el acceso y control remoto (p. ej., dispositivos
y Soporte seguridad seguridad de los móviles, teletrabajo).
gestionados puntos finales.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 4. Administre la configuración de la red de manera segura.
y Soporte seguridad seguridad de los
gestionados puntos finales.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 5. Implemente el filtrado del tráfico de red en los dispositivos
y Soporte seguridad seguridad de los finales.
gestionados puntos finales.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 6. Proteger la integridad del sistema.
y Soporte seguridad seguridad de los
gestionados puntos finales.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 7. Proporcionar protección física de los dispositivos de punto
y Soporte seguridad seguridad de los final.
gestionados puntos finales.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 8. Deseche los dispositivos terminales de forma segura.
y Soporte seguridad seguridad de los
gestionados puntos finales.

286
Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 9. Administre el acceso malicioso a través del correo
y Soporte seguridad seguridad de los electrónico y los navegadores web. Por ejemplo, bloquee
gestionados puntos finales. ciertos sitios web y desactive los clics en enlaces para
teléfonos inteligentes.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.03 Administre la 10. Cifrar la información almacenada según su clasificación.
y Soporte seguridad seguridad de los
gestionados puntos finales.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.04 Administre la 1. Mantener los derechos de acceso de los usuarios de
y Soporte seguridad identidad del usuario acuerdo con la función comercial, los requisitos del proceso y
gestionados y el acceso lógico. las políticas de seguridad. Alinear la gestión de identidades y
derechos de acceso a las funciones y responsabilidades
definidas, en función de los principios de privilegio mínimo,
necesidad de tener y necesidad de saber.
Gestión Entrega, Servicio DSS05 Servicios de DSS05.04 Administre la 2. Administrar todos los cambios a los derechos de acceso
y Soporte seguridad identidad del usuario (creación, modificaciones y eliminaciones) de manera
gestionados y el acceso lógico. oportuna basándose únicamente en las transacciones
aprobadas y documentadas autorizadas por los
administradores designados.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.04 Administre la 3. Segregar, reducir al mínimo necesario y gestionar
y Soporte seguridad identidad del usuario activamente las cuentas de usuarios privilegiados. Asegúrese
gestionados y el acceso lógico. de monitorear toda la actividad en estas cuentas.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.04 Administre la 4. Identificar de manera única todas las actividades de
y Soporte seguridad identidad del usuario procesamiento de información por roles funcionales. Coordine
gestionados y el acceso lógico. con las unidades comerciales para garantizar que todos los
roles se definan de manera uniforme, incluidos los roles
definidos por el propio negocio dentro de las aplicaciones de
procesos comerciales.

287
Gestión Entrega, Servicio DSS05 Servicios de DSS05.04 Administre la 5. Autentique todos los accesos a los activos de información
y Soporte seguridad identidad del usuario según el rol de la persona o las reglas comerciales. Coordine
gestionados y el acceso lógico. con las unidades comerciales que administran la autenticación
dentro de las aplicaciones utilizadas en los procesos
comerciales para garantizar que los controles de autenticación
se hayan administrado correctamente.
Gestión Entrega, Servicio DSS05 Servicios de DSS05.04 Administre la 6. Garantizar que todos los usuarios (internos, externos y
y Soporte seguridad identidad del usuario temporales) y su actividad en los sistemas de TI (aplicación
gestionados y el acceso lógico. comercial, infraestructura de TI, operaciones, desarrollo y
mantenimiento del sistema) sean identificables de manera
única.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.04 Administre la 7. Mantener un registro de auditoría del acceso a la
y Soporte seguridad identidad del usuario información en función de su sensibilidad y los requisitos
gestionados y el acceso lógico. reglamentarios.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.04 Administre la 8. Realizar una revisión de gestión regular de todas las cuentas
y Soporte seguridad identidad del usuario y privilegios relacionados.
gestionados y el acceso lógico.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.05 Administre el acceso 1. Registre y supervise todos los puntos de entrada a los sitios
y Soporte seguridad físico a los activos de de TI. Registre a todos los visitantes, incluidos los contratistas
gestionados I&T. y proveedores, en el sitio.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.05 Administre el acceso 2. Asegúrese de que todo el personal muestre una
y Soporte seguridad físico a los activos de identificación debidamente aprobada en todo momento.
gestionados I&T.

288
Gestión Entrega, Servicio DSS05 Servicios de DSS05.05 Administre el acceso 3. Requerir que los visitantes sean escoltados en todo
y Soporte seguridad físico a los activos de momento mientras estén en el sitio.
gestionados I&T.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.05 Administre el acceso 4. Restrinja y controle el acceso a sitios de TI confidenciales
y Soporte seguridad físico a los activos de mediante el establecimiento de restricciones perimetrales,
gestionados I&T. como vallas, muros y dispositivos de seguridad en puertas
interiores y exteriores.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.05 Administre el acceso 5. Gestionar las solicitudes para permitir el acceso
y Soporte seguridad físico a los activos de debidamente autorizado a las instalaciones informáticas.
gestionados I&T.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.05 Administre el acceso 6. Asegúrese de que los perfiles de acceso permanezcan
y Soporte seguridad físico a los activos de actualizados. Base el acceso a los sitios de TI (salas de
gestionados I&T. servidores, edificios, áreas o zonas) en la función y las
responsabilidades del trabajo.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.05 Administre el acceso 7. Llevar a cabo capacitaciones periódicas de concientización
y Soporte seguridad físico a los activos de sobre la seguridad de la información física.
gestionados I&T.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.06 Administre 1. Establecer procedimientos para regir la recepción, el uso, la
y Soporte seguridad documentos eliminación y la eliminación de documentos confidenciales y
gestionados confidenciales y dispositivos de salida dentro, dentro y fuera de la empresa.
dispositivos de salida.

289
Gestión Entrega, Servicio DSS05 Servicios de DSS05.06 Administre 2. Asegúrese de que existan controles criptográficos para
y Soporte seguridad documentos proteger la información confidencial almacenada
gestionados confidenciales y electrónicamente.
dispositivos de salida.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.06 Administre 3. Asigne privilegios de acceso a documentos confidenciales y
y Soporte seguridad documentos dispositivos de salida según el principio de privilegio mínimo,
gestionados confidenciales y equilibrando el riesgo y los requisitos comerciales.
dispositivos de salida.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.06 Administre 4. Establezca un inventario de documentos confidenciales y
y Soporte seguridad documentos dispositivos de salida, y realice conciliaciones periódicas.
gestionados confidenciales y
dispositivos de salida.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.06 Administre 5. Establecer protecciones físicas apropiadas sobre
y Soporte seguridad documentos documentos confidenciales.
gestionados confidenciales y
dispositivos de salida.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.06 Administre 6. Implementar controles criptográficos para garantizar la
y Soporte seguridad documentos protección de la información confidencial (confidencialidad,
gestionados confidenciales y autenticidad, integridad).
dispositivos de salida.

Gestión Entrega, Servicio DSS05 Servicios de DSS05.07 Administre las 1. Utilizar continuamente una cartera de tecnologías, servicios
y Soporte seguridad vulnerabilidades y y activos compatibles (p. ej., escáneres de vulnerabilidades,
gestionados supervise la fuzzers y sniffers, analizadores de protocolos) para identificar
infraestructura en vulnerabilidades de seguridad de la información.
busca de eventos
relacionados con la
seguridad.

290
Gestión Entrega, Servicio DSS05 Servicios de DSS05.07 Administre las 2. Defina y comunique los escenarios de riesgo para que
y Soporte seguridad vulnerabilidades y puedan reconocerse fácilmente y se comprendan la
gestionados supervise la probabilidad y los impactos.
infraestructura en
busca de eventos
relacionados con la
seguridad.
Gestión Entrega, Servicio DSS05 Servicios de DSS05.07 Administre las 3. Revise periódicamente los registros de eventos para
y Soporte seguridad vulnerabilidades y detectar posibles incidentes.
gestionados supervise la
infraestructura en
busca de eventos
relacionados con la
seguridad.
Gestión Entrega, Servicio DSS05 Servicios de DSS05.07 Administre las 4. Asegúrese de que los tickets de incidentes relacionados con
y Soporte seguridad vulnerabilidades y la seguridad se creen de manera oportuna cuando el
gestionados supervise la monitoreo identifique incidentes potenciales.
infraestructura en
busca de eventos
relacionados con la
seguridad.
Gestión Entrega, Servicio DSS05 Servicios de DSS05.07 Administre las 5. Registrar eventos relacionados con la seguridad y conservar
y Soporte seguridad vulnerabilidades y los registros durante el período apropiado.
gestionados supervise la
infraestructura en
busca de eventos
relacionados con la
seguridad.
Gestión Entrega, Servicio DSS06 Controles de DSS06.01 Alinear las actividades 1. Identificar y documentar las actividades de control
y Soporte procesos de control integradas necesarias para que los procesos comerciales clave satisfagan
comerciales en los procesos los requisitos de control para los objetivos estratégicos,
administrados comerciales con los operativos, de informes y de cumplimiento.
objetivos
empresariales.
Gestión Entrega, Servicio DSS06 Controles de DSS06.01 Alinear las actividades 2. Priorizar las actividades de control en función del riesgo
y Soporte procesos de control integradas inherente al negocio. Identificar los controles clave.
comerciales en los procesos
administrados comerciales con los
objetivos
empresariales.

291
Gestión Entrega, Servicio DSS06 Controles de DSS06.01 Alinear las actividades 3. Asegurar la propiedad de las actividades clave de control.
y Soporte procesos de control integradas
comerciales en los procesos
administrados comerciales con los
objetivos
empresariales.
Gestión Entrega, Servicio DSS06 Controles de DSS06.01 Alinear las actividades 4. Implementar controles automatizados.
y Soporte procesos de control integradas
comerciales en los procesos
administrados comerciales con los
objetivos
empresariales.
Gestión Entrega, Servicio DSS06 Controles de DSS06.01 Alinear las actividades 5. Supervisar continuamente las actividades de control de
y Soporte procesos de control integradas principio a fin para identificar oportunidades de mejora.
comerciales en los procesos
administrados comerciales con los
objetivos
empresariales.
Gestión Entrega, Servicio DSS06 Controles de DSS06.01 Alinear las actividades 6. Mejorar continuamente el diseño y la operación de los
y Soporte procesos de control integradas controles de procesos comerciales.
comerciales en los procesos
administrados comerciales con los
objetivos
empresariales.
Gestión Entrega, Servicio DSS06 Controles de DSS06.02 Controlar el 1. Autenticar al originador de las transacciones y verificar que
y Soporte procesos procesamiento de la el individuo tenga la autoridad para originar la transacción.
comerciales información.
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.02 Controlar el 2. Asegurar una adecuada segregación de funciones con
y Soporte procesos procesamiento de la respecto a la originación y aprobación de transacciones.
comerciales información.
administrados

292
Gestión Entrega, Servicio DSS06 Controles de DSS06.02 Controlar el 3. Verificar que las transacciones sean precisas, completas y
y Soporte procesos procesamiento de la válidas. Los controles pueden incluir secuencia, límite, rango,
comerciales información. validez, razonabilidad, búsquedas en tablas, existencia,
administrados verificación de clave, dígito de verificación, completitud,
verificación de relaciones lógicas y duplicadas, y ediciones de
tiempo. Los criterios y parámetros de validación deben estar
sujetos a revisiones y confirmaciones periódicas. Valide los
Gestión Entrega, Servicio DSS06 Controles de DSS06.02 Controlar el 4. Sin comprometer los niveles de autorización de
y Soporte procesos procesamiento de la transacciones originales, corrija y vuelva a enviar los datos que
comerciales información. se ingresaron erróneamente. Cuando sea apropiado para la
administrados reconstrucción, conserve los documentos fuente originales
durante el tiempo apropiado.

Gestión Entrega, Servicio DSS06 Controles de DSS06.02 Controlar el 5. Mantener la integridad y vigencia de los datos durante todo
y Soporte procesos procesamiento de la el ciclo de procesamiento. Asegúrese de que la detección de
comerciales información. transacciones erróneas no interrumpa el procesamiento de
administrados transacciones válidas.

Gestión Entrega, Servicio DSS06 Controles de DSS06.02 Controlar el 6. Maneje la salida de manera autorizada, entréguela al
y Soporte procesos procesamiento de la destinatario apropiado y proteja la información durante la
comerciales información. transmisión. Verifique la precisión y la integridad de la salida.
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.02 Controlar el 7. Mantener la integridad de los datos durante interrupciones
y Soporte procesos procesamiento de la inesperadas en el procesamiento comercial. Confirme la
comerciales información. integridad de los datos después de fallas en el procesamiento.
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.02 Controlar el 8. Antes de pasar datos de transacciones entre aplicaciones
y Soporte procesos procesamiento de la internas y funciones comerciales/operativas (dentro o fuera
comerciales información. de la empresa), verifique el direccionamiento correcto, la
administrados autenticidad del origen y la integridad del contenido.
Mantener la autenticidad y la integridad durante la
transmisión o el transporte.

293
Gestión Entrega, Servicio DSS06 Controles de DSS06.03 Administre roles, 1. Asignar funciones y responsabilidades en función de las
y Soporte procesos responsabilidades, descripciones de puestos aprobadas y las actividades del
comerciales privilegios de acceso y proceso comercial.
administrados niveles de autoridad.

Gestión Entrega, Servicio DSS06 Controles de DSS06.03 Administre roles, 2. Asignar niveles de autoridad para la aprobación de
y Soporte procesos responsabilidades, transacciones, límites de transacciones y cualquier otra
comerciales privilegios de acceso y decisión relacionada con el proceso comercial, en función de
administrados niveles de autoridad. los roles de trabajo aprobados.

Gestión Entrega, Servicio DSS06 Controles de DSS06.03 Administre roles, 3. Asigne roles para actividades delicadas de modo que haya
y Soporte procesos responsabilidades, una clara segregación de funciones.
comerciales privilegios de acceso y
administrados niveles de autoridad.

Gestión Entrega, Servicio DSS06 Controles de DSS06.03 Administre roles, 4. Asignar derechos y privilegios de acceso en función del
y Soporte procesos responsabilidades, mínimo que se requiere para realizar actividades de trabajo,
comerciales privilegios de acceso y según roles de trabajo predefinidos. Elimine o modifique los
administrados niveles de autoridad. derechos de acceso de inmediato si cambia el puesto de
trabajo o si un miembro del personal abandona el área de
procesos comerciales. Revise periódicamente para garantizar
que el acceso sea apropiado para las amenazas, el riesgo, la
Gestión Entrega, Servicio DSS06 Controles de DSS06.03 Administre roles, 5. Periódicamente, brindar conciencia y capacitación sobre las
y Soporte procesos responsabilidades, funciones y responsabilidades para que todos entiendan sus
comerciales privilegios de acceso y responsabilidades; la importancia de los controles; y la
administrados niveles de autoridad. seguridad, integridad, confidencialidad y privacidad de la
información de la empresa en todas sus formas.

Gestión Entrega, Servicio DSS06 Controles de DSS06.03 Administre roles, 6. Garantizar que los privilegios administrativos estén
y Soporte procesos responsabilidades, asegurados, rastreados y controlados de manera suficiente y
comerciales privilegios de acceso y efectiva para evitar el uso indebido.
administrados niveles de autoridad.

294
Gestión Entrega, Servicio DSS06 Controles de DSS06.03 Administre roles, 7. Revise periódicamente las definiciones de control de
y Soporte procesos responsabilidades, acceso, los registros y los informes de excepción. Asegúrese
comerciales privilegios de acceso y de que todos los privilegios de acceso sean válidos y estén
administrados niveles de autoridad. alineados con los miembros del personal actuales y sus roles
asignados.

Gestión Entrega, Servicio DSS06 Controles de DSS06.04 Administrar errores y 1. Revisar errores, excepciones y desviaciones.
y Soporte procesos excepciones.
comerciales
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.04 Administrar errores y 2. Dar seguimiento, corregir, aprobar y reenviar documentos
y Soporte procesos excepciones. fuente y transacciones.
comerciales
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.04 Administrar errores y 3. Mantener evidencia de acciones correctivas.
y Soporte procesos excepciones.
comerciales
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.04 Administrar errores y 4. Definir y mantener procedimientos para asignar la
y Soporte procesos excepciones. propiedad de errores y excepciones, corregir errores, anular
comerciales errores y manejar condiciones fuera de balance.
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.04 Administrar errores y 5. Informar los errores relevantes del proceso de información
y Soporte procesos excepciones. comercial de manera oportuna para realizar un análisis de
comerciales tendencia y causa raíz.
administrados

295
Gestión Entrega, Servicio DSS06 Controles de DSS06.05 Garantizar la 1. Capturar la información de origen, las pruebas de respaldo
y Soporte procesos trazabilidad y la y el registro de las transacciones.
comerciales rendición de cuentas
administrados de los eventos de
información.

Gestión Entrega, Servicio DSS06 Controles de DSS06.05 Garantizar la 2. Definir los requisitos de retención, en función de los
y Soporte procesos trazabilidad y la requisitos comerciales, para cumplir con las necesidades
comerciales rendición de cuentas operativas, de informes financieros y de cumplimiento.
administrados de los eventos de
información.

Gestión Entrega, Servicio DSS06 Controles de DSS06.05 Garantizar la 3. Disponer de la información fuente, la evidencia de respaldo
y Soporte procesos trazabilidad y la y el registro de transacciones de acuerdo con la política de
comerciales rendición de cuentas retención.
administrados de los eventos de
información.

Gestión Entrega, Servicio DSS06 Controles de DSS06.06 Asegure los activos de 1. Restringir el uso, distribución y acceso físico de la
y Soporte procesos información. información según su clasificación.
comerciales
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.06 Asegure los activos de 2. Proporcionar conciencia y capacitación sobre el uso
y Soporte procesos información. aceptable.
comerciales
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.06 Asegure los activos de 3. Aplicar políticas y procedimientos de clasificación de datos
y Soporte procesos información. y uso aceptable y seguridad para proteger los activos de
comerciales información bajo el control del negocio.
administrados

296
Gestión Entrega, Servicio DSS06 Controles de DSS06.06 Asegure los activos de 4. Identificar e implementar procesos, herramientas y técnicas
y Soporte procesos información. para verificar razonablemente el cumplimiento.
comerciales
administrados

Gestión Entrega, Servicio DSS06 Controles de DSS06.06 Asegure los activos de 5. Informar a las empresas y otras partes interesadas sobre
y Soporte procesos información. violaciones y desviaciones.
comerciales
administrados

Gestión Monitorear, MEA01 Supervisión MEA01.01 Establecer un 1. Identificar a las partes interesadas (p. ej., gestión,
Evaluar y Valorar gestionada del enfoque de propietarios de procesos y usuarios).
rendimiento y la seguimiento.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.01 Establecer un 2. Comprometerse con las partes interesadas y comunicar los
Evaluar y Valorar gestionada del enfoque de requisitos y objetivos de la empresa para monitorear, agregar
rendimiento y la seguimiento. e informar, utilizando definiciones comunes (por ejemplo,
conformidad glosario de negocios, metadatos y taxonomía), referencia y
evaluación comparativa.

Gestión Monitorear, MEA01 Supervisión MEA01.01 Establecer un 3. Alinear y mantener continuamente el enfoque de
Evaluar y Valorar gestionada del enfoque de monitoreo y evaluación con el enfoque empresarial y las
rendimiento y la seguimiento. herramientas que se utilizarán para la recopilación de datos y
conformidad la generación de informes empresariales (por ejemplo,
aplicaciones de inteligencia empresarial).

Gestión Monitorear, MEA01 Supervisión MEA01.01 Establecer un 4. Acordar los tipos de metas y métricas (p. ej., conformidad,
Evaluar y Valorar gestionada del enfoque de desempeño, valor, riesgo), taxonomía (clasificación y
rendimiento y la seguimiento. relaciones entre metas y métricas) y retención de datos
conformidad (evidencia).

297
Gestión Monitorear, MEA01 Supervisión MEA01.01 Establecer un 5. Solicitar, priorizar y asignar recursos para el seguimiento,
Evaluar y Valorar gestionada del enfoque de considerar la idoneidad, eficiencia, eficacia y confidencialidad.
rendimiento y la seguimiento.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.01 Establecer un 6. Validar periódicamente el enfoque utilizado e identificar
Evaluar y Valorar gestionada del enfoque de partes interesadas, requisitos y recursos nuevos o
rendimiento y la seguimiento. modificados.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.01 Establecer un 7. Acordar un proceso de gestión del ciclo de vida y control de
Evaluar y Valorar gestionada del enfoque de cambios para el seguimiento y la elaboración de informes.
rendimiento y la seguimiento. Incluya oportunidades de mejora para informes, métricas,
conformidad enfoque, referencia y evaluación comparativa.

Gestión Monitorear, MEA01 Supervisión MEA01.02 Establecer objetivos 1. Definir los objetivos y métricas. Revíselos periódicamente
Evaluar y Valorar gestionada del de rendimiento y con las partes interesadas para identificar cualquier elemento
rendimiento y la conformidad. importante que falte y definir la razonabilidad de los objetivos
conformidad y las tolerancias.

Gestión Monitorear, MEA01 Supervisión MEA01.02 Establecer objetivos 2. Evaluar si las metas y métricas son adecuadas, es decir,
Evaluar y Valorar gestionada del de rendimiento y específicas, medibles, alcanzables, relevantes y acotadas en el
rendimiento y la conformidad. tiempo (SMART).
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.02 Establecer objetivos 3. Comunicar los cambios propuestos a los objetivos y
Evaluar y Valorar gestionada del de rendimiento y tolerancias de desempeño y conformidad (relacionados con
rendimiento y la conformidad. las métricas) con las partes interesadas clave de diligencia
conformidad debida (p. ej., legal, auditoría, recursos humanos, ética,
cumplimiento, finanzas).

298
Gestión Monitorear, MEA01 Supervisión MEA01.02 Establecer objetivos 4. Publicar objetivos y tolerancias modificados para los
Evaluar y Valorar gestionada del de rendimiento y usuarios de esta información.
rendimiento y la conformidad.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.03 Recopilar y procesar 1. Recopilar datos de procesos definidos (automatizados,
Evaluar y Valorar gestionada del datos de rendimiento cuando sea posible).
rendimiento y la y conformidad.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.03 Recopilar y procesar 2. Evaluar la eficiencia (esfuerzo en relación con la
Evaluar y Valorar gestionada del datos de rendimiento información proporcionada) y la adecuación (utilidad y
rendimiento y la y conformidad. significado) de los datos recopilados y validar la integridad de
conformidad los datos (exactitud y exhaustividad).

Gestión Monitorear, MEA01 Supervisión MEA01.03 Recopilar y procesar 3. Datos agregados para respaldar la medición de las métricas
Evaluar y Valorar gestionada del datos de rendimiento acordadas.
rendimiento y la y conformidad.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.03 Recopilar y procesar 4. Alinear los datos agregados con el enfoque y los objetivos
Evaluar y Valorar gestionada del datos de rendimiento de presentación de informes de la empresa.
rendimiento y la y conformidad.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.03 Recopilar y procesar 5. Utilizar herramientas y sistemas adecuados para el
Evaluar y Valorar gestionada del datos de rendimiento tratamiento y análisis de datos.
rendimiento y la y conformidad.
conformidad

299
Gestión Monitorear, MEA01 Supervisión MEA01.04 Analizar y reportar el 1. Diseñar informes de rendimiento de procesos que sean
Evaluar y Valorar gestionada del desempeño. concisos, fáciles de entender y adaptados a las diversas
rendimiento y la necesidades y audiencias de gestión. Facilitar la toma de
conformidad decisiones efectiva y oportuna (p. ej., cuadros de mando,
informes de semáforos). Asegúrese de que la causa y el efecto
entre los objetivos y las métricas se comuniquen de manera
comprensible.
Gestión Monitorear, MEA01 Supervisión MEA01.04 Analizar y reportar el 2. Distribuir informes a las partes interesadas relevantes.
Evaluar y Valorar gestionada del desempeño.
rendimiento y la
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.04 Analizar y reportar el 3. Analizar la causa de las desviaciones con respecto a los
Evaluar y Valorar gestionada del desempeño. objetivos, iniciar acciones correctivas, asignar
rendimiento y la responsabilidades para la corrección y seguimiento. En los
conformidad momentos apropiados, revise todas las desviaciones y busque
las causas fundamentales, cuando sea necesario. Documente
los problemas para obtener más orientación si el problema se
repite. Documentar resultados.
Gestión Monitorear, MEA01 Supervisión MEA01.04 Analizar y reportar el 4. Cuando sea factible, integre el desempeño y el
Evaluar y Valorar gestionada del desempeño. cumplimiento en los objetivos de desempeño de los miembros
rendimiento y la del personal y vincule el logro de los objetivos de desempeño
conformidad al sistema de compensación de recompensas de la
organización.

Gestión Monitorear, MEA01 Supervisión MEA01.04 Analizar y reportar el 5. Compare los valores de rendimiento con los objetivos y
Evaluar y Valorar gestionada del desempeño. puntos de referencia internos y, cuando sea posible, con los
rendimiento y la puntos de referencia externos (industria y competidores
conformidad clave).

Gestión Monitorear, MEA01 Supervisión MEA01.04 Analizar y reportar el 6. Analizar las tendencias en el desempeño y el cumplimiento
Evaluar y Valorar gestionada del desempeño. y tomar las medidas apropiadas.
rendimiento y la
conformidad

300
Gestión Monitorear, MEA01 Supervisión MEA01.04 Analizar y reportar el 7. Recomendar cambios a las metas y métricas, cuando
Evaluar y Valorar gestionada del desempeño. corresponda.
rendimiento y la
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.05 Asegurar la 1. Revisar las respuestas, opciones y recomendaciones de la
Evaluar y Valorar gestionada del implementación de gerencia para abordar problemas y desviaciones importantes.
rendimiento y la acciones correctivas.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.05 Asegurar la 2. Asegurar que se mantenga la asignación de responsabilidad
Evaluar y Valorar gestionada del implementación de para la acción correctiva.
rendimiento y la acciones correctivas.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.05 Asegurar la 3. Seguimiento de los resultados de las acciones realizadas.
Evaluar y Valorar gestionada del implementación de
rendimiento y la acciones correctivas.
conformidad

Gestión Monitorear, MEA01 Supervisión MEA01.05 Asegurar la 4. Reportar los resultados a las partes interesadas.
Evaluar y Valorar gestionada del implementación de
rendimiento y la acciones correctivas.
conformidad

Gestión Monitorear, MEA02 Sistema MEA02.01 Supervisar los 1. Identificar los límites del sistema de control interno. Por
Evaluar y Valorar Administrado de controles internos. ejemplo, considere cómo los controles internos
Control Interno organizacionales toman en cuenta las actividades de
desarrollo o producción subcontratadas y/o en el extranjero.

301
Gestión Monitorear, MEA02 Sistema MEA02.01 Supervisar los 2. Evaluar el estado de los controles internos de los
Evaluar y Valorar Administrado de controles internos. proveedores de servicios externos. Confirme que los
Control Interno proveedores de servicios cumplan con los requisitos legales y
reglamentarios y las obligaciones contractuales.

Gestión Monitorear, MEA02 Sistema MEA02.01 Supervisar los 3. Realizar actividades de monitoreo y evaluación de control
Evaluar y Valorar Administrado de controles internos. interno basadas en estándares de gobierno organizacional y
Control Interno marcos y prácticas aceptados por la industria. Incluir también
el seguimiento y evaluación de la eficiencia y eficacia de las
actividades de supervisión gerencial.

Gestión Monitorear, MEA02 Sistema MEA02.01 Supervisar los 4. Garantizar que las excepciones de control se informen,
Evaluar y Valorar Administrado de controles internos. sigan y analicen con prontitud, y que se prioricen e
Control Interno implementen las acciones correctivas apropiadas de acuerdo
con el perfil de gestión de riesgos (p. ej., clasificar ciertas
excepciones como un riesgo clave y otras como un riesgo no
clave).
Gestión Monitorear, MEA02 Sistema MEA02.01 Supervisar los 5. Considerar evaluaciones independientes del sistema de
Evaluar y Valorar Administrado de controles internos. control interno (por ejemplo, por auditoría interna o pares).
Control Interno

Gestión Monitorear, MEA02 Sistema MEA02.01 Supervisar los 6. Mantener el sistema de control interno, considerando los
Evaluar y Valorar Administrado de controles internos. cambios continuos en el riesgo comercial y de I&T, el entorno
Control Interno de control organizacional y los procesos comerciales y de I&T
relevantes. Si existen brechas, evalúe y recomiende cambios.

Gestión Monitorear, MEA02 Sistema MEA02.01 Supervisar los 7. Evaluar periódicamente el desempeño del marco de
Evaluar y Valorar Administrado de controles internos. control, comparándolo con las normas y buenas prácticas
Control Interno aceptadas por la industria. Considere la adopción formal de un
enfoque de mejora continua para el monitoreo del control
interno.

302
Gestión Monitorear, MEA02 Sistema MEA02.02 Revisar la eficacia de 1. Comprender y priorizar el riesgo para los objetivos de la
Evaluar y Valorar Administrado de los controles de organización.
Control Interno procesos de negocio.

Gestión Monitorear, MEA02 Sistema MEA02.02 Revisar la eficacia de 2. Identificar los controles clave y desarrollar una estrategia
Evaluar y Valorar Administrado de los controles de adecuada para validar los controles.
Control Interno procesos de negocio.

Gestión Monitorear, MEA02 Sistema MEA02.02 Revisar la eficacia de 3. Identificar información que indicará si el ambiente de
Evaluar y Valorar Administrado de los controles de control interno está operando de manera efectiva.
Control Interno procesos de negocio.

Gestión Monitorear, MEA02 Sistema MEA02.02 Revisar la eficacia de 4. Mantener evidencia de la efectividad del control.
Evaluar y Valorar Administrado de los controles de
Control Interno procesos de negocio.

Gestión Monitorear, MEA02 Sistema MEA02.02 Revisar la eficacia de 5. Desarrollar e implementar procedimientos rentables para
Evaluar y Valorar Administrado de los controles de obtener esta información de acuerdo con los criterios de
Control Interno procesos de negocio. calidad de la información aplicables.

Gestión Monitorear, MEA02 Sistema MEA02.03 Realizar 1. Definir un enfoque coherente y acordado para realizar
Evaluar y Valorar Administrado de autoevaluaciones de autoevaluaciones de control y coordinar con los auditores
Control Interno control. internos y externos.

303
Gestión Monitorear, MEA02 Sistema MEA02.03 Realizar 2. Mantener planes de evaluación y alcance e identificar
Evaluar y Valorar Administrado de autoevaluaciones de criterios de evaluación para realizar autoevaluaciones.
Control Interno control. Planificar la comunicación de los resultados del proceso de
autoevaluación a la dirección comercial, de TI y general y al
directorio. Considerar los estándares de auditoría interna en
el diseño de las autoevaluaciones.
Gestión Monitorear, MEA02 Sistema MEA02.03 Realizar 3. Determinar la frecuencia de las autoevaluaciones
Evaluar y Valorar Administrado de autoevaluaciones de periódicas, considerando la efectividad y eficiencia general del
Control Interno control. monitoreo continuo.

Gestión Monitorear, MEA02 Sistema MEA02.03 Realizar 4. Asignar la responsabilidad de la autoevaluación a las
Evaluar y Valorar Administrado de autoevaluaciones de personas adecuadas para garantizar la objetividad y la
Control Interno control. competencia.

Gestión Monitorear, MEA02 Sistema MEA02.03 Realizar 5. Proporcionar revisiones independientes para garantizar la
Evaluar y Valorar Administrado de autoevaluaciones de objetividad de la autoevaluación y permitir el intercambio de
Control Interno control. buenas prácticas de control interno de otras empresas.

Gestión Monitorear, MEA02 Sistema MEA02.03 Realizar 6. Comparar los resultados de las autoevaluaciones con los
Evaluar y Valorar Administrado de autoevaluaciones de estándares y buenas prácticas de la industria.
Control Interno control.

Gestión Monitorear, MEA02 Sistema MEA02.03 Realizar 7. Resumir e informar los resultados de las autoevaluaciones y
Evaluar y Valorar Administrado de autoevaluaciones de la evaluación comparativa para las acciones correctivas.
Control Interno control.

304
Gestión Monitorear, MEA02 Sistema MEA02.04 Identificar y reportar 1. Comunicar los procedimientos para el escalamiento de las
Evaluar y Valorar Administrado de deficiencias de excepciones de control, el análisis de la causa raíz y la
Control Interno control. presentación de informes a los propietarios de procesos y las
partes interesadas de I&T.

Gestión Monitorear, MEA02 Sistema MEA02.04 Identificar y reportar 2. Considere el riesgo empresarial relacionado para establecer
Evaluar y Valorar Administrado de deficiencias de umbrales para escalar las excepciones y fallas de control.
Control Interno control.

Gestión Monitorear, MEA02 Sistema MEA02.04 Identificar y reportar 3. Identificar, informar y registrar excepciones de control.
Evaluar y Valorar Administrado de deficiencias de Asignar responsabilidades para resolverlos e informar sobre su
Control Interno control. estado.

Gestión Monitorear, MEA02 Sistema MEA02.04 Identificar y reportar 4. Decidir qué excepciones de control se deben comunicar a la
Evaluar y Valorar Administrado de deficiencias de persona responsable de la función y qué excepciones se
Control Interno control. deben escalar. Informar a los propietarios de los procesos
afectados y a las partes interesadas.

Gestión Monitorear, MEA02 Sistema MEA02.04 Identificar y reportar 5. Dar seguimiento a todas las excepciones para asegurar que
Evaluar y Valorar Administrado de deficiencias de se hayan abordado las acciones acordadas.
Control Interno control.

Gestión Monitorear, MEA02 Sistema MEA02.04 Identificar y reportar 6. Identificar, iniciar, rastrear e implementar acciones
Evaluar y Valorar Administrado de deficiencias de correctivas que surjan de las evaluaciones de control y los
Control Interno control. informes.

305
Gestión Monitorear, MEA03 Cumplimiento MEA03.01 Identificar los 1. Asignar la responsabilidad de identificar y monitorear
Evaluar y Valorar gestionado de requisitos de cualquier cambio en los requisitos legales, regulatorios y otros
requisitos cumplimiento requisitos contractuales externos relevantes para el uso de los
externos externo. recursos de TI y el procesamiento de la información dentro del
negocio y las operaciones de TI de la empresa.

Gestión Monitorear, MEA03 Cumplimiento MEA03.01 Identificar los 2. Identificar y evaluar todos los posibles requisitos de
Evaluar y Valorar gestionado de requisitos de cumplimiento y el impacto en las actividades de I&T en áreas
requisitos cumplimiento como el flujo de datos, la privacidad, los controles internos,
externos externo. los informes financieros, las reglamentaciones específicas de
la industria, la propiedad intelectual, la salud y la seguridad.

Gestión Monitorear, MEA03 Cumplimiento MEA03.01 Identificar los 3. Evaluar el impacto de los requisitos legales y reglamentarios
Evaluar y Valorar gestionado de requisitos de relacionados con I&T en los contratos de terceros
requisitos cumplimiento relacionados con operaciones de TI, proveedores de servicios
externos externo. y socios comerciales comerciales.

Gestión Monitorear, MEA03 Cumplimiento MEA03.01 Identificar los 4. Definir las consecuencias del incumplimiento.
Evaluar y Valorar gestionado de requisitos de
requisitos cumplimiento
externos externo.

Gestión Monitorear, MEA03 Cumplimiento MEA03.01 Identificar los 5. Obtener asesoramiento independiente, cuando
Evaluar y Valorar gestionado de requisitos de corresponda, sobre los cambios en las leyes, reglamentos y
requisitos cumplimiento normas aplicables.
externos externo.

Gestión Monitorear, MEA03 Cumplimiento MEA03.01 Identificar los 6. Mantener un registro actualizado de todos los requisitos
Evaluar y Valorar gestionado de requisitos de legales, reglamentarios y contractuales pertinentes; su
requisitos cumplimiento impacto y acciones requeridas.
externos externo.

306
Gestión Monitorear, MEA03 Cumplimiento MEA03.01 Identificar los 7. Mantener un registro general armonizado e integrado de
Evaluar y Valorar gestionado de requisitos de requisitos de cumplimiento externo para la empresa.
requisitos cumplimiento
externos externo.

Gestión Monitorear, MEA03 Cumplimiento MEA03.02 Optimizar la 1. Revisar y ajustar periódicamente las políticas, los principios,
Evaluar y Valorar gestionado de respuesta a las normas, los procedimientos y las metodologías para
requisitos requerimientos garantizar su eficacia a la hora de garantizar el cumplimiento
externos externos. necesario y abordar el riesgo empresarial. Utilizar expertos
internos y externos, según sea necesario.

Gestión Monitorear, MEA03 Cumplimiento MEA03.02 Optimizar la 2. Comunicar los requisitos nuevos y modificados a todo el
Evaluar y Valorar gestionado de respuesta a personal pertinente.
requisitos requerimientos
externos externos.

Gestión Monitorear, MEA03 Cumplimiento MEA03.03 Confirmar el 1. Evaluar periódicamente las políticas, estándares,
Evaluar y Valorar gestionado de cumplimiento procedimientos y metodologías de la organización en todas las
requisitos externo. funciones de la empresa para garantizar el cumplimiento de
externos los requisitos legales y reglamentarios pertinentes en relación
con el procesamiento de la información.

Gestión Monitorear, MEA03 Cumplimiento MEA03.03 Confirmar el 2. Abordar las brechas de cumplimiento en políticas,
Evaluar y Valorar gestionado de cumplimiento estándares y procedimientos de manera oportuna.
requisitos externo.
externos

Gestión Monitorear, MEA03 Cumplimiento MEA03.03 Confirmar el 3. Evaluar periódicamente los procesos y actividades
Evaluar y Valorar gestionado de cumplimiento comerciales y de TI para garantizar el cumplimiento de los
requisitos externo. requisitos legales, reglamentarios y contractuales aplicables.
externos

307
Gestión Monitorear, MEA03 Cumplimiento MEA03.03 Confirmar el 4. Revisar regularmente los patrones recurrentes de fallas de
Evaluar y Valorar gestionado de cumplimiento cumplimiento y evaluar las lecciones aprendidas.
requisitos externo.
externos

Gestión Monitorear, MEA03 Cumplimiento MEA03.03 Confirmar el 5. Con base en la revisión y las lecciones aprendidas, mejorar
Evaluar y Valorar gestionado de cumplimiento las políticas, estándares, procedimientos, metodologías y
requisitos externo. procesos y actividades asociados.
externos

Gestión Monitorear, MEA03 Cumplimiento MEA03.04 Obtener 1. Obtener confirmación periódica del cumplimiento de las
Evaluar y Valorar gestionado de aseguramiento del políticas internas por parte de los propietarios de los procesos
requisitos cumplimiento de negocio y de TI y los jefes de unidad.
externos externo.

Gestión Monitorear, MEA03 Cumplimiento MEA03.04 Obtener 2. Realizar revisiones periódicas (y, en su caso,
Evaluar y Valorar gestionado de aseguramiento del independientes) internas y externas para evaluar los niveles
requisitos cumplimiento de cumplimiento.
externos externo.

Gestión Monitorear, MEA03 Cumplimiento MEA03.04 Obtener 3. Si es necesario, obtenga afirmaciones de proveedores de
Evaluar y Valorar gestionado de aseguramiento del servicios de I&T de terceros sobre los niveles de cumplimiento
requisitos cumplimiento de las leyes y regulaciones aplicables.
externos externo.

Gestión Monitorear, MEA03 Cumplimiento MEA03.04 Obtener 4. Si es necesario, obtenga afirmaciones de los socios
Evaluar y Valorar gestionado de aseguramiento del comerciales sobre los niveles de cumplimiento de las leyes y
requisitos cumplimiento reglamentos aplicables en relación con las transacciones
externos externo. electrónicas entre empresas.

308
Gestión Monitorear, MEA03 Cumplimiento MEA03.04 Obtener 5. Integrar la presentación de informes sobre los requisitos
Evaluar y Valorar gestionado de aseguramiento del legales, reglamentarios y contractuales a nivel de toda la
requisitos cumplimiento empresa, involucrando a todas las unidades de negocio.
externos externo.

Gestión Monitorear, MEA03 Cumplimiento MEA03.04 Obtener 6. Supervisar e informar sobre problemas de incumplimiento
Evaluar y Valorar gestionado de aseguramiento del y, cuando sea necesario, investigar la causa raíz.
requisitos cumplimiento
externos externo.

Gestión Monitorear, MEA04 Garantía MEA04.01 Asegurar que los 1. Establecer el cumplimiento de los códigos de ética y las
Evaluar y Valorar administrada proveedores de normas aplicables (p. ej., el Código de ética profesional de
aseguramiento sean ISACA) y las normas de aseguramiento (específicas de la
independientes y industria y la geografía) (p. ej., las Normas de aseguramiento y
calificados. auditoría de TI de ISACA y la Junta de Normas Internacionales
de Auditoría y Aseguramiento). [Marco internacional para
trabajos de aseguramiento de IAASB] [Marco de
Gestión Monitorear, MEA04 Garantía MEA04.01 Asegurar que los 2. Establecer la independencia de los proveedores de
Evaluar y Valorar administrada proveedores de aseguramiento.
aseguramiento sean
independientes y
calificados.

Gestión Monitorear, MEA04 Garantía MEA04.01 Asegurar que los 3. Establecer la competencia y calificación de los proveedores
Evaluar y Valorar administrada proveedores de de aseguramiento.
aseguramiento sean
independientes y
calificados.

Gestión Monitorear, MEA04 Garantía MEA04.02 Desarrollar la 1. Comprender la estrategia y las prioridades de la empresa.
Evaluar y Valorar administrada planificación basada
en el riesgo de las
iniciativas de
aseguramiento.

309
Gestión Monitorear, MEA04 Garantía MEA04.02 Desarrollar la 2. Comprender el contexto interno de la empresa. Esta
Evaluar y Valorar administrada planificación basada comprensión ayudará al profesional de aseguramiento a
en el riesgo de las evaluar mejor los objetivos empresariales y la importancia
iniciativas de relativa de los objetivos empresariales y de alineación, así
aseguramiento. como las amenazas más importantes para estos objetivos. A
su vez, esto ayudará a definir un alcance mejor y más
relevante para el compromiso de aseguramiento.
Gestión Monitorear, MEA04 Garantía MEA04.02 Desarrollar la 3. Comprender el contexto externo de la empresa. Esta
Evaluar y Valorar administrada planificación basada comprensión ayudará al profesional de aseguramiento a
en el riesgo de las comprender mejor los objetivos empresariales y la
iniciativas de importancia relativa de los objetivos empresariales y de
aseguramiento. alineación, así como las amenazas más importantes para estos
objetivos. A su vez, esto ayudará a definir un alcance mejor y
más relevante para el compromiso de aseguramiento.
Gestión Monitorear, MEA04 Garantía MEA04.02 Desarrollar la 4. Desarrollar un plan anual general para iniciativas de
Evaluar y Valorar administrada planificación basada aseguramiento que contenga los objetivos de aseguramiento
en el riesgo de las consolidados.
iniciativas de
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.03 Determinar los 1. Definir el objetivo de aseguramiento de la iniciativa de
Evaluar y Valorar administrada objetivos de la aseguramiento mediante la identificación de las partes
iniciativa de interesadas de la iniciativa de aseguramiento y sus intereses.
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.03 Determinar los 2. Acordar los objetivos de alto nivel y los límites
Evaluar y Valorar administrada objetivos de la organizacionales del compromiso de aseguramiento.
iniciativa de
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.03 Determinar los 3. Considerar el uso de la Cascada de Metas de COBIT y sus
Evaluar y Valorar administrada objetivos de la diferentes niveles para expresar el objetivo de aseguramiento.
iniciativa de
aseguramiento.

310
Gestión Monitorear, MEA04 Garantía MEA04.03 Determinar los 4. Asegurarse de que los objetivos del compromiso de
Evaluar y Valorar administrada objetivos de la aseguramiento consideren los tres componentes del objetivo
iniciativa de de valor: brindar beneficios que respalden los objetivos
aseguramiento. estratégicos, optimizar el riesgo de que no se logren los
objetivos estratégicos y optimizar los niveles de recursos
necesarios para lograr los objetivos estratégicos.
Gestión Monitorear, MEA04 Garantía MEA04.04 Definir el alcance de 1. Definir todos los componentes de gobernanza en el alcance
Evaluar y Valorar administrada la iniciativa de de la revisión, es decir, los principios, políticas y marcos;
aseguramiento. procesos; Estructuras organizacionales; cultura, ética y
comportamiento; información; servicios, infraestructura y
aplicaciones; personas, habilidades y competencias

Gestión Monitorear, MEA04 Garantía MEA04.04 Definir el alcance de 2. Con base en la definición del alcance, defina un plan de
Evaluar y Valorar administrada la iniciativa de participación, considerando la información que se recopilará y
aseguramiento. las partes interesadas que se entrevistarán.

Gestión Monitorear, MEA04 Garantía MEA04.04 Definir el alcance de 3. Confirmar y perfeccionar el alcance en función de la
Evaluar y Valorar administrada la iniciativa de comprensión de la arquitectura empresarial.
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.04 Definir el alcance de 4. Refinar el alcance del compromiso de aseguramiento, con
Evaluar y Valorar administrada la iniciativa de base en los recursos disponibles.
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.05 Definir el programa 1. Definir pasos detallados para recopilar y evaluar
Evaluar y Valorar administrada de trabajo para la información de los controles de gestión dentro del alcance.
iniciativa de Centrarse en evaluar la definición y aplicación de buenas
aseguramiento. prácticas, relacionadas con el diseño del control, y el logro de
los objetivos de control, relacionados con la eficacia del
control.

311
Gestión Monitorear, MEA04 Garantía MEA04.05 Definir el programa 2. Comprender el contexto de los objetivos de gestión y los
Evaluar y Valorar administrada de trabajo para la controles de gestión de apoyo que se implementan.
iniciativa de Comprenda cómo estos controles de gestión contribuyen al
aseguramiento. logro de los objetivos de alineación y los objetivos
empresariales.

Gestión Monitorear, MEA04 Garantía MEA04.05 Definir el programa 3. Comprender a todas las partes interesadas y sus intereses.
Evaluar y Valorar administrada de trabajo para la
iniciativa de
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.05 Definir el programa 4. Acordar las buenas prácticas esperadas para los controles
Evaluar y Valorar administrada de trabajo para la de gestión.
iniciativa de
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.05 Definir el programa 5. Si un control de gestión es débil, definir prácticas para
Evaluar y Valorar administrada de trabajo para la identificar el riesgo residual (en preparación para la
iniciativa de presentación de informes).
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.05 Definir el programa 6. Comprender la etapa del ciclo de vida de los controles de
Evaluar y Valorar administrada de trabajo para la gestión y acordar los valores esperados.
iniciativa de
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.06 Ejecutar la iniciativa 1. Refinar la comprensión del tema de aseguramiento de TI.
Evaluar y Valorar administrada de aseguramiento,
enfocándose en la
efectividad del
diseño.

312
Gestión Monitorear, MEA04 Garantía MEA04.06 Ejecutar la iniciativa 2. Refinar el alcance del tema de aseguramiento de TI.
Evaluar y Valorar administrada de aseguramiento,
enfocándose en la
efectividad del
diseño.

Gestión Monitorear, MEA04 Garantía MEA04.06 Ejecutar la iniciativa 3. Observar/inspeccionar y revisar el enfoque de control de
Evaluar y Valorar administrada de aseguramiento, gestión. Valide el diseño con el propietario del control en
enfocándose en la cuanto a integridad, relevancia, puntualidad y mensurabilidad.
efectividad del
diseño.

Gestión Monitorear, MEA04 Garantía MEA04.06 Ejecutar la iniciativa 4. Pregunte al propietario del control si se han asignado las
Evaluar y Valorar administrada de aseguramiento, responsabilidades del componente de gobierno y la rendición
enfocándose en la de cuentas general. Confirme la respuesta. Evaluar si la
efectividad del rendición de cuentas y las responsabilidades se entienden y
diseño. aceptan. Verificar que las habilidades adecuadas y los recursos
necesarios estén disponibles.
Gestión Monitorear, MEA04 Garantía MEA04.06 Ejecutar la iniciativa 5. Reconsiderar el equilibrio de los tipos de prevención frente
Evaluar y Valorar administrada de aseguramiento, a detección y corrección de las actividades de control de
enfocándose en la gestión.
efectividad del
diseño.

Gestión Monitorear, MEA04 Garantía MEA04.06 Ejecutar la iniciativa 6. Considere el esfuerzo invertido en mantener los controles
Evaluar y Valorar administrada de aseguramiento, de gestión y el costo/efectividad asociado.
enfocándose en la
efectividad del
diseño.

Gestión Monitorear, MEA04 Garantía MEA04.07 Ejecutar la iniciativa 1. Evaluar si se logran los resultados esperados para cada uno
Evaluar y Valorar administrada de aseguramiento, de los controles de gestión en el alcance. Es decir, evaluar la
enfocándose en la eficacia del control de gestión (eficacia del control).
efectividad operativa.

313
Gestión Monitorear, MEA04 Garantía MEA04.07 Ejecutar la iniciativa 2. Asegurarse de que el profesional de aseguramiento pruebe
Evaluar y Valorar administrada de aseguramiento, el resultado o la eficacia del control de gestión buscando
enfocándose en la evidencia directa e indirecta del impacto en los objetivos de
efectividad operativa. los controles de gestión. Esto implica la justificación directa e
indirecta de la contribución medible de los objetivos de
gestión a los objetivos de alineación, registrando así la
evidencia directa e indirecta del logro real de los resultados
Gestión Monitorear, MEA04 Garantía MEA04.07 Ejecutar la iniciativa 3. Determinar si el profesional de aseguramiento obtiene
Evaluar y Valorar administrada de aseguramiento, evidencia directa o indirecta para elementos/períodos
enfocándose en la seleccionados mediante la aplicación de una selección de
efectividad operativa. técnicas de prueba para garantizar que el control de gestión
bajo revisión está funcionando de manera efectiva. Asegúrese
de que el profesional de aseguramiento también realice una
revisión limitada de la adecuación de los resultados del
Gestión Monitorear, MEA04 Garantía MEA04.07 Ejecutar la iniciativa 4. Investigar si se puede hacer más eficiente un control de
Evaluar y Valorar administrada de aseguramiento, gestión y si su diseño puede ser más efectivo optimizando
enfocándose en la pasos o buscando sinergias con otros controles de gestión.
efectividad operativa.

Gestión Monitorear, MEA04 Garantía MEA04.08 Informar y dar 1. Documentar el impacto de las debilidades de control.
Evaluar y Valorar administrada seguimiento a la
iniciativa de
aseguramiento.

Gestión Monitorear, MEA04 Garantía MEA04.08 Informar y dar 2. Comunicarse con la gerencia durante la ejecución de la
Evaluar y Valorar administrada seguimiento a la iniciativa para que haya una comprensión clara del trabajo
iniciativa de realizado y acuerdo y aceptación de los hallazgos y
aseguramiento. recomendaciones preliminares.

Gestión Monitorear, MEA04 Garantía MEA04.08 Informar y dar 3. Proporcionar a la gerencia un informe (alineado con los
Evaluar y Valorar administrada seguimiento a la términos de referencia, el alcance y los estándares de
iniciativa de informes acordados) que respalde los resultados de la
aseguramiento. iniciativa y permita un enfoque claro en temas clave y
acciones importantes.

314
Gestión Monitorear, MEA04 Garantía MEA04.08 Informar y dar 4. Supervisar las actividades de aseguramiento y asegurarse
Evaluar y Valorar administrada seguimiento a la de que el trabajo realizado esté completo, cumpla con los
iniciativa de objetivos y sea de una calidad aceptable. Revise el enfoque o
aseguramiento. los pasos detallados si se producen lagunas en la calidad.

Gestión Monitorear, MEA04 Garantía MEA04.09 Seguimiento de 1. Acordar e implementar internamente, dentro de la
Evaluar y Valorar administrada recomendaciones y organización, las acciones necesarias que se deben tomar para
acciones. resolver las debilidades y brechas identificadas.

Gestión Monitorear, MEA04 Garantía MEA04.09 Seguimiento de 2. Dar seguimiento, dentro de la organización, para
Evaluar y Valorar administrada recomendaciones y determinar si se tomaron acciones correctivas y se resolvieron
acciones. las debilidades del control interno.

315