Administracion de Sistemas
84
ACTIVIDAD UNO DE ADMINISTRACIÓN DE SISTEMAS PABLO MAESTRE MARIO MERCADO Taller 3 Marco de Trabajo del dominio COBIT 4.1 Planear y Organizar ASESOR Ilma Bonilla UNIVERSIDAD AUTÓNOMA DEL CARIBE FACULTAD DE INGENIERÍA DE SISTEMAS ADMINISTRACIÓN DE SISTEMAS I BARRANQUILLA, ATLÁNTICO
-
Upload
mario-mercado-coronado -
Category
Documents
-
view
213 -
download
0
description
Administracion de Sistemas
Transcript of Administracion de Sistemas
ACTIVIDAD UNO DE ADMINISTRACIN DE SISTEMAS
PABLO MAESTREMARIO MERCADO
Taller 3 Marco de Trabajo del dominio COBIT 4.1 Planear y Organizar
ASESORIlma Bonilla
UNIVERSIDAD AUTNOMA DEL CARIBEFACULTAD DE INGENIERA DE SISTEMASADMINISTRACIN DE SISTEMAS IBARRANQUILLA, ATLNTICO2015
CONTENIDO
1. INTRODUCCIN32. JUSTIFICACIN43. NOMBRE DEL DOMINIO54. OBJETIVO PRINCIPAL DEL DOMINIO PO (PLANEAR Y ORGANIZAR)65. OBJETIVOS DE CONTROL DE ALTO NIVEL DEL DOMINIO PO (PLANEAR Y ORGANIZAR) 76. OBJETIVOS DE CONTROL DETALLADOS DEL DOMINIO PO (PLANEAR Y ORGANIZAR) 157. MTRICAS OBJETIVOS DE CONTROL ALTO NIVEL DEL DOMINIO PO (PLANEAR Y ORGANIZAR)388. NIVEL 3,4,5 PARA EL MODELO DE MADUREZ OBJETIVOS DE CONTROL ALTO NIVEL DEL DOMINIO PO (PLANEAR Y ORGANIZAR)489. CONCLUSIONES629. REFERENCIAS BIBLIOGRFICAS63
1. INTRODUCCIN
COBIT, que en sus siglas significa Objetivos de control para la informacin y la tecnologa relacionada, es un conjunto de buenas prcticas aceptadas internacionalmente para el control de la informacin mediante una estructura manejable y lgica de actividades. Se dice que provee buenas prcticas gracias al amplio marco de dominios y procesos que posee. COBIT fue publicado por primera vez por ITGI en 1996. COBIT 4.1 se enfoca en el cumplimiento de las reglas, apoyando a las organizaciones a definir el concepto de valor de TI resaltando la relacin existente entre los objetivos del negocio y TI. COBIT brinda un soporte directo a las funciones de gobierno de TI definiendo 24 procesos de administracin clasificados en 4 marcos de dominios como lo son Planificar y organizar, Adquirir e implementar, Entrega y soporte, Monitorizar y evaluar. Estos dominios se encargan principalmente del agrupamiento lgico de los procesos y determina el ciclo de vida de los procesos de TI. Este trabajo se enfoca en un domino especifico conocido como Planear y Organizar, el cual se plantea como estrategias y tcticas que sirven para identificar de qu manera las TI pueden contribuir al alcance de los objetivos del negocio, el cual ser explicado y expuesto detalladamente para el entendimiento del lector.
2. JUSTIFICACIN
La informacin y las TI son un soporte y un valor vital para las organizaciones, puesto que estas reconocen los beneficios que estas pueden aportar al negocio. Para gestionar el desempeo de los procesos de una empresa es imprescindible aplicar un marco que permita controlar la ejecucin de los procesos de la compaa en alto nivel. En esta fase, es donde COBIT juega su carta como excelente practica para la empresa en cuestin de control de las TI y en relacin a los recursos.
3. NOMBRE DEL DOMINIO
PROCESOS: PLANEAR Y ORGANIZAR (PO)
4. OBJETIVO PRINCIPAL DEL DOMINIO PO (PLANEAR Y ORGANIZAR)
El objetivo principal del dominio PO (Planear y Organizar) es planificar las estrategias, tcticas o tcnicas que puedan permitir que las TI vayan alineadas con los objetivos del negocio. Los objetivos generales son definir el plan estratgico de TI, definir la arquitectura de la informacin, determinar la direccin tecnolgica, definir los procesos, organizaciones y relaciones de TI, administrar la inversin en TI, comunicar las aspiraciones y la direccione de la gerencia, administrar recursos humanos de TI, administrar calidad, evaluar y administrar riesgos de TI y administrar proyectos. Este dominio cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
5.
5. OBJETIVOS DE CONTROL DE ALTO NIVEL DEL DOMINIO PO (PLANEAR Y ORGANIZAR)
PO1 Definir el plan estratgico de TISatisface el requerimiento del negocio de TI para Sostener o extender los requerimientos de gobierno y de la estrategia del negocio, al mismo tiempo que se mantiene la transparencia sobre los beneficios, costos y riesgos Enfocndose en La incorporacin de TI y de la gerencia del negocio en la traduccin de los requerimientos del negocio a ofertas de servicio, y el desarrollo de estrategias para entregar estos servicios de una forma transparente y rentable Se logra con: El compromiso con la alta gerencia y con la gerencia del negocio para alinear la planeacin estratgica de TI con las necesidades del negocio actuales y futuras El entendimiento de las capacidades actuales de TI La aplicacin de un esquema de prioridades para los objetivos del negocio que cuantifique los requerimientos del negocio Y se mide con: El porcentaje de objetivos de TI en el plan estratgico de TI, que dan soporte al plan estratgico del negocio El porcentaje de proyectos TI en el portafolio de proyectos que se pueden rastrear hacia el plan tctico de TI El retraso entre las actualizaciones del plan estratgico de TI y las actualizaciones de los planes tcticos de TI
PO2 Definicin de la arquitectura de la informacinSatisface el requerimiento del negocio de TI para Agilizar la respuesta a los requerimientos, proporcionar informacin confiable y consistente, para integrar de forma transparente las aplicaciones dentro de los procesos del negocio Enfocndose en El establecimiento de un modelo de datos empresarial que incluya un esquema de clasificacin de informacin que garantice la integridad y consistencia de todos los datos Se logra con: El aseguramiento de la exactitud de la arquitectura de la informacin y del modelo de datos La asignacin de propiedad de datos La clasificacin de la informacin usando un esquema de clasificacin acordado Y se mide con: El porcentaje de elementos de datos redundantes / duplicados El porcentaje de aplicaciones que no cumplen con la metodologa de arquitectura de la informacin usada por la empresa La frecuencia de actividades de validacin de datos
PO3 Determinacin de la direccin tecnolgicaSatisface el requerimiento del negocio de TI para Contar con sistemas aplicativos estndares, bien integrados, rentables y estables, as como recursos y capacidades que satisfagan requerimientos de negocio, actuales y futuros Enfocndose en La definicin e implementacin de un plan de infraestructura tecnolgica, una arquitectura y estndares que tomen en cuenta y aprovechen las oportunidades tecnolgicas Se logra con: El establecimiento de un foro para dirigir la arquitectura y verificar el cumplimiento El establecimiento de un plan de infraestructura tecnolgica equilibrado versus costos, riesgos y requerimientos. La definicin de estndares de infraestructura tecnolgica basados en requerimientos de arquitectura de informacin Y se mide con: El nmero y tipo de desviaciones con respecto al plan de infraestructura tecnolgica Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnolgica Nmero de plataformas de tecnologa por funcin a travs de toda la empresa
PO4 Definir los procesos, la organizacin y las relaciones de TISatisface el requerimiento del negocio de TI para Agilizar la respuesta a las estrategias del negocio mientras se cumplen los requerimientos de gobierno y se establecen puntos de contacto definidos y competentes Enfocndose en El establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la definicin e implementacin de procesos de TI con dueos, y en la integracin de roles y responsabilidades hacia los procesos de negocio y de decisin Se logra con: La definicin de un marco de trabajo de procesos de TI El establecimiento de un cuerpo y una estructura organizacional apropiada La definicin de roles y responsabilidades Y se mide con: El porcentaje de roles con descripciones de puestos y autoridad documentados El nmero de unidades/procesos de negocio que no reciben soporte de TI y que deberan recibirlo, de acuerdo con la estrategia Nmero de actividades clave de TI fuera de la organizacin de TI que no son aprobadas y que no estn sujetas a los estndares organizacionales de TIPO5 Administrar la inversin en TISatisface el requerimiento del negocio de TI para Mejorar de forma continua y demostrable la rentabilidad de TI y su contribucin a la rentabilidad del negocio con servicios integrados y estandarizados que satisfagan las expectativas del usuario. Enfocndose en Decisiones de portafolio e inversin en TI efectivas y eficientes, y el establecimiento y seguimiento de presupuestos de TI de acuerdo a la estrategia de TI y a las decisiones de inversin. Se logra con:
El pronstico y la asignacin de presupuestos La definicin de criterios formales de inversin (retorno de inversin -ROI, periodo de reintegro, valor presente neto -NPV) La medicin y evaluacin del valor del negocio en comparacin con el pronstico Y se mide con: El porcentaje de reduccin en el costo unitario del servicio de TI Porcentaje del valor de la desviacin respecto al presupuesto en comparacin con el presupuesto total Porcentaje de gasto de TI expresado en impulsores de valor del negocio (Ej. Incremento en ventas / servicios debidos a la mejora en conectividad
PO6 Comunicar los objetivos y directivas a la gerenciaSatisface el requerimiento del negocio de TI para Una informacin precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades Enfocndose en Proporcionar polticas, procedimientos, directrices y otra documentacin aprobada, de forma precisa y entendible y que se encuentre dentro del marco de trabajo de control de TI a los interesados Se logra con:
La definicin de un marco de trabajo de control para TI La elaboracin e implantacin de polticas para TI El refuerzo de polticas de TI
Y se mide con: El nmero de interrupciones en el negocio debidas a interrupciones en el servicio de TI Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa Porcentaje de interesados que no cumple las polticas
PO7 Administrar los recursos humanos de TISatisface el requerimiento del negocio de TI para Adquirir gente competente y motivada para crear y entregar servicios de TI Enfocndose en La contratacin y entrenamiento del personal, la motivacin por medio de planes de carrera claros, la asignacin de roles que correspondan a las habilidades, el establecimiento de procesos de revisin definidos, la creacin de descripcin de puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos Se logra con:
La revisin del desempeo del personal La contratacin y entrenamiento de personal de TI para apoyar los planes tcticos de TI La mitigacin del riesgo de sobre-dependencia de recursos clave
Y se mide con:
El nivel de satisfaccin de los interesados respecto a la experiencia y habilidades del personal La rotacin de personal de TI Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio
PO8 Gestionar la calidadSatisface el requerimiento del negocio de TI para La mejora continua y medible de la calidad de los servicios prestados por TI Enfocndose en La definicin de un sistema de administracin de calidad (QMS, por sus siglas en ingls), el monitoreo continuo del desempeo contra los objetivos predefinidos, y la implantacin de un programa de mejora continua de servicios de TI Se logra con:
La definicin de estndares y prcticas de calidad El monitoreo y revisin interna y externa del desempeo contra los estndares y prcticas de calidad definidas La mejorara del QMS de manera continua Y se mide con:
Porcentaje de Interesados (Stakeholders) satisfechos con la calidad (ponderado por importancia) Porcentaje de procesos de TI revisados de manera formal por aseguramiento de calidad de modo peridico que satisfaga las metas y objetivos de calidad Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA)
PO9 Evaluar y manejar los riesgos de TISatisface el requerimiento del negocio de TI para Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio Enfocndose en La elaboracin de un marco de trabajo de administracin de riesgos el cual est integrado en los marcos gerenciales de riesgo operacional, evaluacin de riesgos, mitigacin del riesgo y comunicacin de riesgos residuales Se logra con:
La garanta de que la administracin de riesgos est incluida completamente en los procesos administrativos, tanto interna como externamente, y se aplica de forma consistente La realizacin de evaluaciones de riesgo La recomendacin y comunicacin de planes de accin para remediar riesgos Y se mide con:
Porcentaje de objetivos crticos de TI cubiertos por la evaluacin de riesgos Porcentaje de riesgos crticos de TI identificados con planes de accin elaborados Porcentaje de planes de accin de administracin de riesgos aprobados para su implantacin
PO10 Administrar los proyectos de TISatisface el requerimiento del negocio de TI para La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados Enfocndose en Un programa y un enfoque de administracin de proyectos definidos, el cual se aplica a todos los proyectos de TI, lo cual facilita la participacin de los interesados y el monitoreo de los riesgos y los avances de los proyectos Se logra con:
La definicin e implantacin de marcos de trabajo y enfoques de programas y de proyectos La emisin de directrices de administracin para proyectos La planeacin de proyectos para todos los proyectos incluidos en el portafolio de proyectos Y se mide con:
Porcentaje de proyectos que satisfacen las expectativas de los interesados (a tiempo, dentro del presupuesto, y con satisfaccin de los requerimientos ponderados por importancia) Porcentaje de proyectos con revisin post-implantacin Porcentaje de proyectos que siguen estndares y prcticas de administracin de proyectos
6. OBJETIVOS DE CONTROL DETALLADOS DEL DOMINIO PO (PLANEAR Y ORGANIZAR)PO1 Definir el plan estratgico de TIPO1.1 Administracin del Valor de TITrabajar con el negocio para garantizar que el portafolio de inversiones de TI de la empresa contenga programas con casos de negocio slidos. Reconocer que existen inversiones obligatorias, de sustento y discrecionales que difieren en complejidad y grado de libertad en cuanto a la asignacin de fondos. Los procesos de TI deben proporcionar una entrega efectiva y eficiente de los componentes TI de los programas y advertencias oportunas sobre las desviaciones del plan, incluyendo costo, cronograma o funcionalidad, que pudieran impactar los resultados esperados de los programas. Los servicios de TI se deben ejecutar contra acuerdos de niveles de servicios equitativos y exigibles. La rendicin de cuentas del logro de los beneficios y del control de los costos es claramente asignada y monitoreada. Establecer una evaluacin de los casos de negocio que sea justa, transparente, repetible y comparable, incluyendo el valor financiero, el riesgo de no cumplir con una capacidad y el riesgo de no materializar los beneficios esperados.
PO1.2 Alineacin de TI con el NegocioEducar a los ejecutivos sobre las capacidades tecnolgicas actuales y sobre el rumbo futuro, sobre las oportunidades que ofrece TI, y sobre qu debe hacer el negocio para capitalizar esas oportunidades. Asegurarse de que el rumbo del negocio al cual est alineado TI est bien entendido. Las estrategias de negocio y de TI deben estar integradas, relacionando de manera clara las metas de la empresa y las metas de TI y reconociendo las oportunidades as como las limitaciones en la capacidad actual, y se deben comunicar de manera amplia. Identificar las reas en que el negocio (estrategia) depende de forma crtica de TI, y mediar entre los imperativos del negocio y la tecnologa, de tal modo que se puedan establecer prioridades concertadas.
PO1.3 Evaluacin del Desempeo y la Capacidad ActualEvaluar el desempeo de los planes existentes y de los sistemas de informacin en trminos de su contribucin a los objetivos de negocio, su funcionalidad, su estabilidad, su complejidad, sus costos, sus fortalezas y debilidades.
PO1.4 Plan Estratgico de TICrear un plan estratgico que defina, en cooperacin con los interesados relevantes, cmo TI contribuir a los objetivos estratgicos de la empresa (metas) as como los costos y riesgos relacionados. Incluye cmo TI dar soporte a los programas de inversin facilitados por TI y a la entrega de los servicios operativos. Define cmo se cumplirn y medirn los objetivos y recibirn una autorizacin formal de los interesados. El plan estratgico de TI debe incluir el presupuesto de la inversin / operativo, las fuentes de financiamiento, la estrategia de obtencin, la estrategia de adquisicin, y los requerimientos legales y regulatorios. El plan estratgico debe ser lo suficientemente detallado para permitir la definicin de planes tcticos de TI.
PO1.5 Planes Tcticos de TICrear un portafolio de planes tcticos de TI que se deriven del plan estratgico de TI. Estos planes tcticos deben describir las iniciativas y los requerimientos de recursos requeridos por TI, y cmo el uso de los recursos y el logro de los beneficios sern monitoreados y administrados. Los planes tcticos deben tener el detalle suficiente para permitir la definicin de planes de proyectos. Administrar de forma activa los planes tcticos y las iniciativas de TI establecidas por medio del anlisis de los portafolios de proyectos y servicios. Esto incluye el equilibrio de los requerimientos y recursos de forma regular, comparndolos con el logro de metas estratgicas y tcticas y con los beneficios esperados, y tomando las medidas necesarias en caso de desviaciones.
PO1.6 Administracin del Portafolio de TIAdministrar de forma activa, junto con el negocio, el portafolio de programas de inversin de TI requerido para lograr objetivos de negocio estratgicos especficos por medio de la identificacin, definicin, evaluacin, asignacin de prioridades, seleccin, inicio, administracin y control de los programas. Esto incluye clarificar los resultados de negocio deseados, garantizar que los objetivos de los programas den soporte al logro de los resultados, entender el alcance completo del esfuerzo requerido para lograr los resultados, definir una rendicin de cuentas clara con medidas de soporte, definir proyectos dentro del programa, asignar recursos y financiamiento, delegar autoridad, y comisionar los proyectos requeridos al momento de lanzar el programa.
PO2 Definicin de la arquitectura de la informacinPO2.1 Modelo de Arquitectura de Informacin EmpresarialEstablecer y mantener un modelo de informacin empresarial que facilite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como se describen en P01. El modelo debe facilitar la creacin, uso y el compartir en forma ptima la informacin por parte del negocio de tal manera que se mantenga su integridad, sea flexible, funcional, rentable, oportuna, segura y tolerante a fallos.
PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de DatosMantener un diccionario de datos empresarial que incluya las reglas de sintaxis de datos de la organizacin. El diccionario facilita compartir elementos de datos entre las aplicaciones y los sistemas, fomenta un entendimiento comn de datos entre los usuarios de TI y del negocio, y previene la creacin de elementos de datos incompatibles
PO2.3 Esquema de Clasificacin de DatosEstablecer un esquema de clasificacin que aplique a toda la empresa, basado en que tan crtica y sensible es la informacin (esto es, pblica, confidencial, secreta) de la empresa. Este esquema incluye detalles acerca de la propiedad de datos, la definicin de niveles apropiados de seguridad y de controles de proteccin, y una breve descripcin de los requerimientos de retencin y destruccin de datos, adems de qu tan crticos y sensibles son. Se usa como base para aplicar controles como el control de acceso, archivo o cifrado.
PO2.4 Administracin de IntegridadDefinir e Implementar procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrnico, tales como bases de datos, almacenes de datos y archivos.
PO3 Determinacin de la direccin tecnolgicaPO3.1 Planeacin de la Direccin TecnolgicaAnalizar las tecnologas existentes y emergentes y planear cul direccin tecnolgica es apropiada tomar para materializar la estrategia de TI y la arquitectura de sistemas del negocio. Tambin identificar en el plan qu tecnologas tienen el potencial de crear oportunidades de negocio. El plan debe abarcar la arquitectura de sistemas, la direccin tecnolgica, las estrategias de migracin y los aspectos de contingencia de los componentes de la infraestructura.
PO3.2 Plan de Infraestructura TecnolgicaCrear y mantener un plan de infraestructura tecnolgica que est de acuerdo con los planes estratgicos y tcticos de TI. El plan se basa en la direccin tecnolgica e incluye acuerdos para contingencias y orientacin para la adquisicin de recursos tecnolgicos. Tambin toma en cuenta los cambios en el ambiente competitivo, las economas de escala para inversiones y personal en sistemas de informacin, y la mejora en la interoperabilidad de las plataformas y las aplicaciones.
PO3.3 Monitoreo de Tendencias y Regulaciones FuturasEstablecer un proceso para monitorear las tendencias ambientales del sector / industria, tecnolgicas, de infraestructura, legales y regulatorias. Incluir las consecuencias de estas tendencias en el desarrollo del plan de infraestructura tecnolgica de TI.
PO3.4 Estndares TecnolgicosProporcionar soluciones tecnolgicas consistentes, efectivas y seguras para toda la empresa, establecer un foro tecnolgico para brindar directrices tecnolgicas, asesora sobre los productos de la infraestructura y guas sobre la seleccin de la tecnologa, y medir el cumplimiento de estos estndares y directrices. Este foro impulsa los estndares y las prcticas tecnolgicas con base en su importancia y riesgo para el negocio y en el cumplimiento de requerimientos externos.
PO3.5 Consejo de Arquitectura de TIEstablecer un comit de arquitectura de TI que proporcione directrices sobre la arquitectura y asesora sobre su aplicacin, y que verifique el cumplimiento. Esta entidad orienta el diseo de la arquitectura de TI garantizando que facilite la estrategia del negocio y tome en cuenta el cumplimiento regulatorio y los requerimientos de continuidad. Estos aspectos se vinculan con el PO2 Definir arquitectura de la informacin.
PO4 Definir los procesos, la organizacin y las relaciones de TIPO4.1 Marco de Trabajo de Procesos de TIDefinir un marco de trabajo para el proceso de TI para ejecutar el plan estratgico de TI. Este marco incluye estructura y relaciones de procesos de TI (administrando brechas y superposiciones de procesos), propiedad, medicin del desempeo, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. Proporciona integracin entre los procesos que son especficos para TI, administracin del portafolio de la empresa, procesos de negocio y procesos de cambio del negocio. El marco de trabajo de procesos de TI debe estar integrado en un sistema de administracin de calidad y en un marco de trabajo de control interno.
PO4.2 Comit Estratgico de TIEstablecer un comit estratgico de TI a nivel del consejo. Este comit deber asegurar que el gobierno de TI, como parte del gobierno corporativo, se maneja de forma adecuada, asesora sobre la direccin estratgica y revisa las inversiones principales a nombre del consejo completo.
PO4.3 Comit Directivo de TIEstablecer un comit directivo de TI (o su equivalente) compuesto por la gerencia ejecutiva, del negocio y de TI para: Determinar las prioridades de los programas de inversin de TI alineadas con la estrategia y prioridades de negocio de la empresa Dar seguimiento al estatus de los proyectos y resolver los conflictos de recursos Monitorear los niveles de servicio y las mejoras del servicio.
PO4.4 Ubicacin Organizacional de la Funcin de TIUbicar a la funcin de TI dentro de la estructura organizacional general con un modelo de negocios supeditado a la importancia de TI dentro de la empresa, en especial en funcin de que tan crtica es para la estrategia del negocio y el nivel de dependencia operativa sobre TI. La lnea de reporte del CIO es proporcional con la importancia de TI dentro de la empresa.
PO4.5 Estructura OrganizacionalEstablecer una estructura organizacional de TI interna y externa que refleje las necesidades del negocio. Adems implementar un proceso para revisar la estructura organizacional de TI de forma peridica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos de negocio esperados y las circunstancias cambiantes.
PO4.6 Establecimiento de Roles y ResponsabilidadesDefinir y comunicar los roles y las responsabilidades para el personal de TI y los usuarios que delimiten la autoridad entre el personal de TI y los usuarios finales y definan las responsabilidades y rendicin de cuentas para alcanzar las necesidades del negocio.
PO4.7 Responsabilidad de Aseguramiento de Calidad de TIAsignar la responsabilidad para el desempeo de la funcin de aseguramiento de calidad (QA) y proporcionar al grupo de QA sistemas de QA, los controles y la experiencia para comunicarlos. Asegurar que la ubicacin organizacional, las responsabilidades y el tamao del grupo de QA satisfacen los requerimientos de la organizacin.
PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el CumplimientoEstablecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y asignar roles crticos para administrar los riesgos de TI, incluyendo la responsabilidad especfica de la seguridad de la informacin, la seguridad fsica y el cumplimiento. Establecer responsabilidad sobre la administracin del riesgo y la seguridad a nivel de toda la organizacin para manejar los problemas a nivel de toda la empresa. Puede ser necesario asignar responsabilidades adicionales de administracin de la seguridad a nivel de sistema especfico para manejar problemas relacionados con seguridad. Obtener orientacin de la alta direccin con respecto al apetito de riesgo de TI y la aprobacin de cualquier riesgo residual de TI.
PO4.9 Propiedad de Datos y de SistemasProporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de informacin. Los dueos toman decisiones sobre la clasificacin de la informacin y de los sistemas y sobre cmo protegerlos de acuerdo a esta clasificacin.
PO4.10 SupervisinImplementar prcticas adecuadas de supervisin dentro de la funcin de TI para garantizar que los roles y las responsabilidades se ejerzan de forma apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades y para revisar en general los indicadores clave de desempeo.
PO4.11 Segregacin de FuncionesImplementar una divisin de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crtico. La gerencia tambin se asegura de que el personal realice slo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas.
PO4.12 Personal de TIEvaluar los requerimientos de personal de forma regular o cuando existan cambios importantes en el ambiente de negocios, operativo o de TI para garantizar que la funcin de TI cuente con un nmero suficiente de recursos para soportar adecuada y apropiadamente a las metas y objetivos del negocio.
PO4.13 Personal Clave de TIDefinir e identificar al personal clave de TI y minimizar la dependencia en un solo individuo desempeando una funcin de trabajo crtica.
PO4.14 Polticas y Procedimientos para Personal ContratadoAsegurar que los consultores y el personal contratado que soporta la funcin de TI cumplan con las polticas organizacionales de proteccin de los activos de informacin de la empresa de tal manera que se logren los requerimientos contractuales acordados.
PO4.15 RelacionesEstablecer y mantener una estructura ptima de enlace, comunicacin y coordinacin entre la funcin de TI y otros interesados dentro y fuera de la funcin de TI, tales como el consejo directivo, ejecutivos, unidades de negocio, usuarios individuales, proveedores, oficiales de seguridad, gerentes de riesgo, el grupo de cumplimiento corporativo, los contratistas externos y la gerencia externa (offsite).
PO5 Administrar la inversin en TIPO5.1 Marco de Trabajo para la Administracin FinancieraEstablecer y mantener un marco de trabajo financiero para administrar las inversiones y el costo de los activos y servicios de TI a travs de portafolios de inversiones habilitadas por TI, casos de negocio y presupuestos de TI.
PO5.2 Prioridades Dentro del Presupuesto de TIImplementar un proceso de toma de decisiones para dar prioridades a la asignacin de recursos a TI para operaciones, proyectos y mantenimiento, para maximizar la contribucin de TI a optimizar el retorno del portafolio empresarial de programas de inversin en TI y otros servicios y activos de TI
PO5.3 Proceso PresupuestalEstablecer un proceso para elaborar y administrar un presupuesto que refleje las prioridades establecidas en el portafolio empresarial de programas de inversin en TI, incluyendo los costos recurrentes de operar y mantener la infraestructura actual. El proceso debe dar soporte al desarrollo de un presupuesto general de TI as como al desarrollo de presupuestos para programas individuales, con nfasis especial en los componentes de TI de esos programas. El proceso debe permitir la revisin, el refinamiento y la aprobacin constantes del presupuesto general y de los presupuestos de programas individuales
PO5.4 Administracin de Costos de TIImplementar un proceso de administracin de costos que compare los costos reales con los presupuestados. Los costos se deben monitorear y reportar. Cuando existan desviaciones, stas se deben identificar de forma oportuna y el impacto de esas desviaciones sobre los programas se debe evaluar y, junto con el patrocinador del negocio para estos programas, se debern tomar las medidas correctivas apropiadas y, en caso de ser necesario, el caso de negocio del programa de inversin se deber actualizar.
PO5.5 Administracin de BeneficiosImplementar un proceso de monitoreo de beneficios. La contribucin esperada de TI a los resultados del negocio, ya sea como un componente de programas de inversin en TI o como parte de un soporte operativo regular, se debe identificar, acordar, monitorear y reportar. Los reportes se deben revisar y, donde existan oportunidades para mejorar la contribucin de TI, se deben definir y tomar las medidas apropiadas. Siempre que los cambios en la contribucin de TI tengan impacto en el programa, o cuando los cambios a otros proyectos relacionados impacten al programa, el caso de negocio deber ser actualizado.
PO6 Comunicar los objetivos y directivas a la gerenciaPO6.1 Ambiente de Polticas y de ControlDefinir los elementos de un ambiente de control para TI, alineados con la filosofa administrativa y el estilo operativo de la empresa. Estos elementos incluyen las expectativas / requerimientos respecto a la entrega de valor proveniente de las inversiones en TI, el apetito de riesgo, la integridad, los valores ticos, la competencia del personal, la rendicin de cuentas y la responsabilidad. El ambiente de control se basa en una cultura que apoya la entrega de valor, mientras administra riesgos significativos, fomenta la colaboracin entre divisiones y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada.
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TIElaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque empresarial general hacia los riesgos y el control que se alinee con la poltica de TI, el ambiente de control y el marco de trabajo de riesgo y control de la empresa.
PO6.3 Administracin de Polticas para TIElaborar y dar mantenimiento a un conjunto de polticas que apoyen la estrategia de TI. Estas polticas deben incluir su intencin, roles y responsabilidades, procesos de excepcin, enfoque de cumplimiento y referencias a procedimientos, estndares y directrices. Su relevancia se debe confirmar y aprobar en forma regular.
PO6.4 Implantacin de Polticas de TIAsegurarse de que las polticas de TI se implantan y se comunican a todo el personal relevante, y se refuerzan, de tal forma que estn incluidas y sean parte integral de las operaciones empresariales.
PO6.5 Comunicacin de los Objetivos y la Direccin de TIAsegurarse de que la conciencia y el entendimiento de los objetivos y la direccin del negocio y de TI se comunican a los interesados apropiados y a los usuarios de toda la organizacin.
PO7 Administrar los recursos humanos de TIPO7.1 Reclutamiento y Retencin del PersonalAsegurarse que los procesos de reclutamiento del personal de TI estn de acuerdo a las polticas y procedimientos generales de personal de la organizacin (Ej. contratacin, un ambiente positivo de trabajo y orientacin). La gerencia implementa procesos para garantizar que la organizacin cuente con una fuerza de trabajo posicionada de forma apropiada, que tenga las habilidades necesarias para alcanzar las metas organizacionales.
PO7.2 Competencias del PersonalVerificar de forma peridica que el personal tenga las habilidades para cumplir sus roles con base en su educacin, entrenamiento y/o experiencia. Definir los requerimientos esenciales de habilidades para TI y verificar que se les d mantenimiento, usando programas de calificacin y certificacin segn sea el caso.
PO7.3 Asignacin de RolesDefinir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y compensacin del personal, incluyendo el requerimiento de adherirse a las polticas y procedimientos administrativos, as como al cdigo de tica y prcticas profesionales. El nivel de supervisin debe estar de acuerdo con la sensibilidad del puesto y el grado de responsabilidades asignadas.
PO7.4 Entrenamiento del Personal de TIProporcionar a los empleados de TI la orientacin necesaria al momento de la contratacin y entrenamiento continuo para conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas organizacionales.
PO7.5 Dependencia Sobre los IndividuosMinimizar la exposicin a dependencias crticas sobre individuos clave por medio de la captura del conocimiento (documentacin), compartir el conocimiento, planeacin de la sucesin y respaldos de personal.
PO7.6 Procedimientos de Investigacin del PersonalIncluir verificaciones de antecedentes en el proceso de reclutamiento de TI. El grado y la frecuencia de estas verificaciones dependen de que tan delicada o crtica sea la funcin y se deben aplicar a los empleados, contratistas y proveedores.
PO7.7 Evaluacin del Desempeo del EmpleadoEs necesario que las evaluaciones de desempeo se realicen peridicamente, comparando contra los objetivos individuales derivados de las metas organizacionales, estndares establecidos y responsabilidades especficas del puesto. Los empleados deben recibir adiestramiento sobre su desempeo y conducta, segn sea necesario.
PO7.8 Cambios y Terminacin de TrabajoTomar medidas expeditas respecto a los cambios en los puestos, en especial las terminaciones. Se debe realizar la transferencia del conocimiento, reasignar responsabilidades y se deben eliminar los privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la funcin.
PO8 Gestionar la calidadPO8.1 Sistema de Administracin de CalidadEstablecer y mantener un QMS que proporcione un enfoque estndar, formal y continuo, con respecto a la administracin de la calidad, que est alineado con los requerimientos del negocio. El QMS identifica los requerimientos y los criterios de calidad, los procesos claves de TI, y su secuencia e interaccin, as como las polticas, criterios y mtodos para definir, detectar, corregir y prever las no conformidades. El QMS debe definir la estructura organizacional para la administracin de la calidad, cubriendo los roles, las tareas y las responsabilidades. Todas las reas clave desarrollan sus planes de calidad de acuerdo a los criterios y polticas, y registran los datos de calidad. Monitorear y medir la efectividad y aceptacin del QMS y mejorarla cuando sea necesario.
PO8.2 Estndares y Prcticas de CalidadIdentificar y mantener estndares, procedimientos y prcticas para los procesos clave de TI para orientar a la organizacin hacia el cumplimiento del QMS. Usar las buenas prcticas de la industria como referencia al mejorar y adaptar las prcticas de calidad de la organizacin.
PO8.3 Estndares de Desarrollo y de AdquisicinAdoptar y mantener estndares para todo desarrollo y adquisicin que siga el ciclo de vida, hasta el ltimo entregable e incluir la aprobacin en puntos clave con base en criterios de aceptacin acordados. Los temas a considerar incluyen estndares de codificacin de software, normas de nomenclatura; formatos de archivos, estndares de diseo para esquemas y diccionario de datos; estndares para la interfaz de usuario; inter operabilidad; eficiencia de desempeo de sistemas; escalabilidad; estndares para desarrollo y pruebas; validacin contra requerimientos; planes de pruebas; y pruebas unitarias, de regresin y de integracin.
PO8.4 Enfoque en el Cliente de TIEnfocar la administracin de calidad en los clientes, determinando sus requerimientos y alinendolos con los estndares y prcticas de TI. Definir roles y responsabilidades respecto a la resolucin de conflictos entre el usuario/cliente y la organizacin de TI.
PO8.5 Mejora ContinuaMantener y comunicar regularmente un plan global de calidad que promueva la mejora continua.
PO8.6 Medicin, Monitoreo y Revisin de la CalidadDefinir, planear e implementar mediciones para monitorear el cumplimiento continuo del QMS, as como el valor que el QMS proporciona. La medicin, el monitoreo y el registro de la informacin deben ser usados por el dueo del proceso para tomar las medidas correctivas y preventivas apropiadas.
PO9 Evaluar y manejar los riesgos de TIPO9.1 Marco de Trabajo de Administracin de RiesgosEstablecer un marco de trabajo de administracin de riesgos de TI que est alineado al marco de trabajo de administracin de riesgos de la organizacin.
PO9.2 Establecimiento del Contexto del RiesgoEstablecer el contexto en el cual el marco de trabajo de evaluacin de riesgos se aplica para garantizar resultados apropiados. Esto incluye la determinacin del contexto interno y externo de cada evaluacin de riesgos, la meta de la evaluacin y los criterios contra los cuales se evalan los riesgos.
PO9.3 Identificacin de EventosIdentificar eventos (una amenaza importante y realista que explota una vulnerabilidad aplicable y significativa) con un impacto potencial negativo sobre las metas o las operaciones de la empresa, incluyendo aspectos de negocio, regulatorios, legales, tecnolgicos, de sociedad comercial, de recursos humanos y operativos. Determinar la naturaleza del impacto y mantener esta informacin. Registrar y mantener los riesgos relevantes en un registro de riesgos.
PO9.4 Evaluacin de Riesgos de TIEvaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando mtodos cualitativos y cuantitativos. La probabilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categora y con base en el portafolio.
PO9.5 Respuesta a los RiesgosDesarrollar y mantener un proceso de respuesta a riesgos diseado para asegurar que controles efectivos en costo mitigan la exposicin en forma continua. El proceso de respuesta a riesgos debe identificar estrategias tales como evitar, reducir, compartir o aceptar riesgos; determinar responsabilidades y considerar los niveles de tolerancia a riesgos.
PO9.6 Mantenimiento y Monitoreo de un Plan de Accin de RiesgosPriorizar y planear las actividades de control a todos los niveles para implementar las respuestas a los riesgos, identificadas como necesarias, incluyendo la identificacin de costos, beneficios y la responsabilidad de la ejecucin. Obtener la aprobacin para las acciones recomendadas y la aceptacin de cualquier riesgo residual, y asegurarse de que las acciones comprometidas estn a cargo del dueo (s) de los procesos afectados. Monitorear la ejecucin de los planes y reportar cualquier desviacin a la alta direccin.
PO10 Administrar los proyectos de TIPO10.1 Marco de Trabajo para la Administracin de ProgramasMantener el programa de los proyectos, relacionados con el portafolio de programas de inversiones facilitadas por TI, por medio de la identificacin, definicin, evaluacin, otorgamiento de prioridades, seleccin, inicio, administracin y control de los proyectos. Asegurarse de que los proyectos apoyen los objetivos del programa. Coordinar las actividades e interdependencias de mltiples proyectos, administrar la contribucin de todos los proyectos dentro del programa hasta obtener los resultados esperados, y resolver los requerimientos y conflictos de recursos.
PO10.2 Marco de Trabajo para la Administracin de ProyectosEstablecer y mantener un marco de trabajo para la administracin de proyectos que defina el alcance y los lmites de la administracin de proyectos, as como las metodologas a ser adoptadas y aplicadas en cada proyecto emprendido. El marco de trabajo y los mtodos de soporte se deben integrar con los procesos de administracin de programas.
PO10.3 Enfoque de Administracin de ProyectosEstablecer un enfoque de administracin de proyectos que corresponda al tamao, complejidad y requerimientos regulatorios de cada proyecto. La estructura de gobierno de proyectos puede incluir los roles, las responsabilidades y la rendicin de cuentas del patrocinador del programa, patrocinadores de proyectos, comit de direccin, oficina de proyectos, y gerente del proyecto, as como los mecanismos por medio de los cuales pueden satisfacer esas responsabilidades (tales como reportes y revisiones por etapa). Asegurarse que todos los proyectos de TI cuenten con patrocinadores con la suficiente autoridad para apropiarse de la ejecucin del proyecto dentro del programa estratgico global.
PO10.4 Compromiso de los InteresadosObtener el compromiso y la participacin de los interesados afectados en la definicin y ejecucin del proyecto dentro del contexto del programa global de inversiones facilitadas por TI.
PO10.5 Declaracin de Alcance del ProyectoDefinir y documentar la naturaleza y alcance del proyecto para confirmar y desarrollar, entre los interesados, un entendimiento comn del alcance del proyecto y cmo se relaciona con otros proyectos dentro del programa global de inversiones facilitadas por TI. La definicin se debe aprobar de manera formal por parte de los patrocinadores del programa y del proyecto antes de iniciar el proyecto.
PO10.6 Inicio de las Fases del ProyectoAprobar el inicio de las etapas importantes del proyecto y comunicarlo a todos los interesados. La aprobacin de la fase inicial se debe basar en las decisiones de gobierno del programa. La aprobacin de las fases subsiguientes se debe basar en la revisin y aceptacin de los entregables de la fase previa, y la aprobacin de un caso de negocio actualizado en la prxima revisin importante del programa. En el caso de fases traslapadas, se debe establecer un punto de aprobacin por parte de los patrocinadores del programa y del proyecto, para autorizar as el avance del proyecto.
PO10.7 Plan Integrado del ProyectoEstablecer un plan integrado para el proyecto, aprobado y formal (que cubra los recursos de negocio y de los sistemas de informacin) para guiar la ejecucin y el control del proyecto a lo largo de la vida del ste. Las actividades e interdependencias de mltiples proyectos dentro de un mismo programa se deben entender y documentar. El plan del proyecto se debe mantener a lo largo de la vida del mismo. El plan del proyecto, y las modificaciones a ste, se deben aprobar de acuerdo al marco de trabajo de gobierno del programa y del proyecto.
PO10.8 Recursos del ProyectoDefinir las responsabilidades, relaciones, autoridades y criterios de desempeo de los miembros del equipo del proyecto y especificar las bases para adquirir y asignar a los miembros competentes del equipo y/o a los contratistas al proyecto. La obtencin de productos y servicios requeridos para cada proyecto se debe planear y administrar para alcanzar los objetivos del proyecto, usando las prcticas de adquisicin de la organizacin.
PO10.9 Administracin de Riesgos del ProyectoEliminar o minimizar los riesgos especficos asociados con los proyectos individuales por medio de un proceso sistemtico de planeacin, identificacin, anlisis, respuesta, monitoreo y control de las reas o eventos que tengan el potencial de ocasionar cambios no deseados. Los riesgos afrontados por el proceso de administracin de proyectos y el producto entregable del proyecto se deben establecer y registrar de forma central.
PO10.10 Plan de Calidad del ProyectoPreparar un plan de administracin de la calidad que describa el sistema de calidad del proyecto y cmo ser implantado. El plan debe ser revisado y acordado de manera formal por todas las partes interesadas para luego ser incorporado en el plan integrado del proyecto.
PO10.11 Control de Cambios del ProyectoEstablecer un sistema de control de cambios para cada proyecto, de tal modo que todos los cambios a la lnea base del proyecto (Ej. costos, cronograma, alcance y calidad) se revisen, aprueben e incorporen de manera apropiada al plan integrado del proyecto, de acuerdo al marco de trabajo de gobierno del programa y del proyecto.
PO10.12 Planeacin del Proyecto y Mtodos de AseguramientoIdentificar las tares de aseguramiento requeridas para apoyar la acreditacin de sistemas nuevos o modificados durante la planeacin del proyecto e incluirlos en el plan integrado. Las tareas deben proporcionar la seguridad de que los controles internos y las caractersticas de seguridad satisfagan los requerimientos definidos.
PO10.13 Medicin del Desempeo, Reporte y Monitoreo del ProyectoMedir el desempeo del proyecto contra los criterios clave del proyecto (Ej. alcance, cronograma, calidad, costos y riesgos); identificar las desviaciones con respecto al plan; evaluar su impacto sobre el proyecto y sobre el programa global; reportar los resultados a los interesados clave; y recomendar, Implementar y monitorear las medidas correctivas, segn sea requerido, de acuerdo con el marco de trabajo de gobierno del programa y del proyecto.
PO10.14 Cierre del ProyectoSolicitar que al finalizar cada proyecto, los interesados del proyecto se cercioren de que el proyecto haya proporcionado los resultados y los beneficios esperados. Identificar y comunicar cualquier actividad relevante requerida para alcanzar los resultados planeados del proyecto y los beneficios del programa, e identificar y documentar las lecciones aprendidas a ser usadas en futuros proyectos y programas.
7. MTRICAS OBJETIVOS DE CONTROL ALTO NIVEL DEL DOMINIO PO (PLANEAR Y ORGANIZAR)
PO1 Definir el plan estratgico de TI
PO2 Definicin de la arquitectura de la informacin
PO3 Determinacin de la direccin tecnolgica
PO4 Definir los procesos, la organizacin y las relaciones de TI
PO5 Administrar la inversin en TI
PO6 Comunicar los objetivos y directivas a la gerencia
PO7 Administrar los recursos humanos de TI
PO8 Gestionar la calidad
PO9 Evaluar y manejar los riesgos de TI
PO10 Administrar los proyectos de TI
8. NIVEL 3,4,5 PARA EL MODELO DE MADUREZ OBJETIVOS DE CONTROL ALTO NIVEL DEL DOMINIO PO (PLANEAR Y ORGANIZAR)PO1 Definir el plan estratgico de TI3 Definido cuandoUna poltica define cmo y cundo realizar la planeacin estratgica de TI. La planeacin estratgica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. El proceso de planeacin de TI es razonablemente slido y garantiza que es factible realizar una planeacin adecuada. Sin embargo, se otorga discrecionalidad a gerentes individuales especficos con respecto a la implantacin del proceso, y no existen procedimientos para analizar el proceso. La estrategia general de TI incluye una definicin consistente de los riesgos que la organizacin est dispuesta a tomar como innovador o como seguidor. Las estrategias de recursos humanos, tcnicos y financieros de TI influencian cada vez ms la adquisicin de nuevos productos y tecnologas. La planeacin estratgica de TI se discute en reuniones de la direccin del negocio.4 Administrado y Medible cuandoLa planeacin estratgica de TI es una prctica estndar y las excepciones son advertidas por la direccin. La planeacin estratgica de TI es una funcin administrativa definida con responsabilidades de alto nivel. La direccin puede monitorear el proceso estratgico de TI, tomar decisiones informadas con base en el plan y medir su efectividad. La planeacin de TI de corto y largo plazo sucede y se distribuye en forma de cascada hacia la organizacin, y las actualizaciones se realizan segn son necesarias. La estrategia de TI y la estrategia organizacional se vuelven cada vez ms coordinadas al abordar procesos de negocio y capacidades de valor agregado y al apalancar el uso de aplicaciones y tecnologas por medio de la re-ingeniera de procesos de negocio. Existen procesos bien definidos para determinar e uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas.5 Optimizado cuandoLa planeacin estratgica de TI es un proceso documentado y vivo, que cada vez ms se toma en cuenta en el establecimiento de las metas del negocio y da como resultado un valor observable de negocios por medio de las inversiones en TI. Las consideraciones de riesgo y de valor agregado se actualizan de modo constante en el proceso de planeacin estratgica de TI. Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constante para reflejar los cambiantes avances tecnolgicos y el progreso relacionado al negocio. Se realizan evaluaciones por comparacin contra normas industriales bien entendidas y confiables y se integran con el proceso de formulacin de la estrategia. El plan estratgico especifica cmo los nuevos avances tecnolgicos pueden impulsar creacin de nuevas capacidades de negocio y mejorar la ventaja competitiva de la organizacin. PO2 Definicin de la arquitectura de la informacin3 Definido cuando La importancia de la arquitectura de la informacin se entiende y se acepta, y la responsabilidad de su aplicacin se asigna y se comunica de forma clara. Los procedimientos, herramientas y tcnicas relacionados, aunque no son sofisticados, se han estandarizado y documentado y son parte de actividades informales de entrenamiento. Se han desarrollado polticas bsicas de arquitectura de informacin, incluyendo algunos requerimientos estratgicos, aunque el cumplimiento de polticas, estndares y herramientas no se refuerza de manera consistente. Existe una funcin de administracin de datos definida formalmente, que establece estndares para toda la organizacin, y empieza a reportar sobre la aplicacin y uso de la arquitectura de la informacin. Las herramientas automatizadas se empiezan a utilizar, aunque los procesos y reglas son definidos por los proveedores de software de bases de datos. Un plan formal de entrenamiento ha sido desarrollado, pero el entrenamiento formal se basa en iniciativas individuales.4 Administrado y Medible cuando Se da soporte completo al desarrollo e implantacin de la arquitectura de informacin por medio de mtodos y tcnicas formales. La responsabilidad sobre el desempeo del proceso de desarrollo de la arquitectura se refuerza y se mide el xito de la arquitectura de informacin. Las herramientas automatizadas de soporte estn ampliamente generalizadas, pero todava no estn integradas. Se han identificado mtricas bsicas y existe un sistema de medicin. El proceso de definicin de la arquitectura de informacin es proactivo y se enfoca en resolver necesidades futuras del negocio. La organizacin de administracin de datos est activamente involucrada en todos los esfuerzos de desarrollo de las aplicaciones, para garantizar la consistencia. Un repositorio automatizado est totalmente implementado. Se encuentran en implantacin modelos de datos ms complejos para aprovechar el contenido informativo de las bases de datos. Los sistemas de informacin ejecutiva y los sistemas de soporte a la toma de decisiones aprovechan la informacin existente.5 Optimizado cuandoLa arquitectura de informacin es reforzada de forma consistente a todos los niveles. El valor de la arquitectura de la informacin para el negocio se enfatiza de forma continua. El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de informacin robusta y sensible que refleje todos los requerimientos del negocio. La informacin provista por la arquitectura se aplica de modo consistente y amplio. Se hace un uso amplio de las mejores prcticas de la industria en el desarrollo y mantenimiento de la arquitectura de informacin incluyendo un proceso de mejora continua. La estrategia para el aprovechamiento de la informacin por medio de tecnologas de bodega de datos y minera de datos est bien definida. La arquitectura de la informacin se encuentra en mejora continua y toma en cuenta informacin no tradicional sobre los procesos, organizaciones y sistemas.PO3 Determinacin de la direccin tecnolgica3 Definido cuandoLa gerencia est consciente de la importancia del plan de infraestructura tecnolgica. El proceso para el plan de infraestructura tecnolgica es razonablemente slido y est alineado con el plan estratgico de TI. Existe un plan de infraestructura tecnolgica definido, documentado y bien difundido, aunque se aplica de forma inconsistente .La orientacin de la infraestructura tecnolgica incluye el entendimiento de dnde la empresa desea ser lder y dnde desea rezagarse respecto al uso de tecnologa, con base en los riesgos y en la alineacin con la estrategia organizacional. Los proveedores clave se seleccionan con base en su entendimiento de la tecnologa a largo plazo y de los planes de desarrollo de productos, de forma consistente con la direccin de la organizacin4 Administrado y Medible cuando La direccin garantiza el desarrollo del plan de infraestructura tecnolgica. El equipo de TI cuenta con la experiencia y las habilidades necesarias para desarrollar un plan de infraestructura tecnolgica. El impacto potencial de las tecnologas cambiantes y emergentes se toma en cuenta. La direccin puede identificar las desviaciones respecto al plan y anticipar los problemas. La responsabilidad del desarrollo y mantenimiento del plan de infraestructura tecnolgica ha sido asignado. El proceso para desarrollar el plan de infraestructura tecnolgica es sofisticado y sensible a los cambios. Se han incluido buenas prcticas internas en el proceso. La estrategia de recursos humanos est alineada con la direccin tecnolgica, para garantizar que el equipo de TI pueda administrar los cambios tecnolgicos. Los planes de migracin para la introduccin de nuevas tecnologas estn definidos. Los recursos externos y las asociaciones se aprovechan para tener acceso a la experiencia y a las habilidades necesarias. La direccin ha evaluado la aceptacin del riesgo de usar la tecnologa como lder, o rezagarse en su uso, para desarrollar nuevas oportunidades de negocio o eficiencias operativas. 5 Optimizado cuando Existe una funcin de investigacin que revisa las tecnologas emergentes y evolutivas y para evaluar la organizacin por comparacin contra las normas industriales. La direccin del plan de infraestructura tecnolgica est impulsada por los estndares y avances industriales e internacionales, en lugar de estar orientada por los proveedores de tecnologa. El impacto potencial de los cambios tecnolgicos sobre el negocio se revisa al nivel de la alta direccin. Existe una aprobacin ejecutiva formal para el cambio de la direccin tecnolgica o para adoptar una nueva. La entidad cuenta con un plan robusto de infraestructura tecnolgica que refleja los requerimientos del negocio, es sensible a los cambios en el ambiente del negocio y puede reflejar los cambios en ste. Existe un proceso continuo y reforzado para mejorar el plan de infraestructura tecnolgica. Las mejores prcticas de la industria se usan de forma amplia para determinar la direccin tcnica.PO4 Definir los procesos, la organizacin y las relaciones de TI3 Definido cuando Existen roles y responsabilidades definidos para la organizacin de TI y para terceros. La organizacin de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI. Se define el ambiente de control interno. Se formulan las relaciones con terceros, incluyendo los comits de direccin, auditora interna y administracin de proveedores. La organizacin de TI est funcionalmente completa. Existen definiciones de las funciones a ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los requerimientos esenciales de personal de TI y experiencia estn definidos y satisfechos. Existe una definicin formal de las relaciones con los usuarios y con terceros. La divisin de roles y responsabilidades est definida e implantada. 4 Administrado y Medible cuando La organizacin de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. La administracin, la propiedad de procesos, la delegacin y la responsabilidad de TI estn definidas y balanceadas. Se han aplicado buenas prcticas internas en la organizacin de las funciones de TI. La gerencia de TI cuenta con la experiencia y habilidades apropiadas para definir, implementar y monitorear la organizacin deseada y las relaciones. Las mtricas medibles para dar soporte a los objetivos del negocio y los factores crticos de xito definidos por el usuario siguen un estndar. Existen inventarios de habilidades para apoyar al personal de los proyectos y el desarrollo profesional. El equilibrio entre las habilidades y los recursos disponibles internamente, y los que se requieren de organizaciones externas estn definidos y reforzados. La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratgicos del negocio, en lugar de estar alineados con tecnologas aisladas. 5 Optimizado cuando La estructura organizacional de TI es flexible y adaptable. Se ponen en funcionamiento las mejores prcticas de la industria. Existe un uso amplio de la tecnologa para monitorear el desempeo de la organizacin y de los procesos de TI. La tecnologa se aprovecha para apoyar la complejidad y distribucin geogrfica de la organizacin. Un proceso de mejora continua existe y est implantado.PO5 Administrar la inversin en TI3 Definido cuando Las polticas y los procesos para inversiones y presupuestos estn definidas, documentadas y comunicadas y cubren temas clave de negocio y de tecnologa. El presupuesto de TI est alineado con los planes estratgicos de TI y con los planes del negocio procesos de seleccin de inversiones en TI y de presupuestos estn formalizados, documentados y comunicados. Surge el entrenamiento formal aunque todava se basa de modo principal en iniciativas individuales. Ocurre la aprobacin formal de la seleccin de inversiones en TI y presupuestos. El personal de TI cuenta con la experiencia y habilidades necesarias para desarrollar el presupuesto de TI y recomendar inversiones apropiadas en TI.4 Administrado y medible cuandoLa responsabilidad y la rendicin de cuentas por la seleccin y presupuestos de inversiones se asignan a un individuo especfico. Las diferencias en el presupuesto se identifican y se resuelven. Se realizan anlisis formales de costos que cubren los costos directos e indirectos de las operaciones existentes, as como propuestas de inversiones, considerando todos los costos a lo largo del ciclo completo de vida. Se usa un proceso de presupuestos proactivo y estndar. El impacto en los costos operativos y de desarrollo debidos a cambios en hardware y software, hasta cambios en integracin de sistemas y recursos humanos de TI, se reconoce en los planes de inversin. Los beneficios y los retornos se calculan en trminos financieros y no financieros.5 Optimizado cuando Se utilizan las buenas prcticas de la industria para evaluar los costos por comparacin (benchmark) e identificar la efectividad de las inversiones. Se utiliza el anlisis de los avances tecnolgicos en el proceso de seleccin y presupuesto de inversiones. El proceso de administracin de inversiones se mejora de forma continua con base en las lecciones aprendidas provenientes del anlisis del desempeo real de las inversiones. Las decisiones de inversiones incluyen las tendencias de mejora de precio/desempeo. Se investigan y evalan formalmente las alternativas de financiamiento dentro del contexto de la estructura de capital existente en la organizacin, mediante el uso de mtodos formales de evaluacin. Existe la identificacin proactiva de varianzas. Se incluye un anlisis de los costos y beneficios a largo plazo del ciclo de vida total en la toma de decisiones de inversin.PO6 Comunicar los objetivos y directivas a la gerencia3 Definido cuandoLa gerencia ha elaborado, documentado y comunicado un ambiente completo de administracin de calidad y control de la informacin, que incluye un marco para las polticas, procedimientos y estndares. El proceso de elaboracin de polticas es estructurado, mantenido y conocido por el personal, y las polticas, procedimientos y estndares existentes son razonablemente slidos y cubren temas clave. La gerencia ha reconocido la importancia de la conciencia de la seguridad de TI y ha iniciado programas de concienciacin. El entrenamiento formal est disponible para apoyar al ambiente de control de informacin, aunque no se aplica de forma rigurosa. Aunque existe un marco general de desarrollo para las polticas y estndares de control, el monitoreo del cumplimiento de estas polticas y estndares es inconsistente. Las tcnicas para fomentar la conciencia de la seguridad estn estandarizadas y formalizadas4 Administrado y Medible cuando La gerencia asume la responsabilidad de comunicar las polticas de control interno y delega la responsabilidad y asigna suficientes recursos para mantener el ambiente en lnea con los cambios significativos. Se ha establecido un ambiente de control de informacin positivo y proactivo. Se ha establecido un juego completo de polticas, procedimientos y estndares, los cuales se mantienen y comunican, y forman un componente de buenas prcticas internas. Se ha establecido un marco de trabajo para la implantacin y las verificaciones subsiguientes de cumplimiento. 5 Optimizado cuando El ambiente de control de la informacin est alineado con el marco administrativo estratgico y con la visin, y con frecuencia se revisa, actualiza y mejora. Se asignan expertos internos y externos para garantizar que se adoptan las mejores prcticas de la industria, con respecto a las guas de control y a las tcnicas de comunicacin. El monitoreo, la auto-evaluacin y las verificaciones de cumplimiento estn extendidas en la organizacin. La tecnologa se usa para mantener bases de conocimiento de polticas y de concienciacin y para optimizar la comunicacin, usando herramientas de automatizacin de oficina y de entrenamiento basado en computadora.PO7 Administrar los recursos humanos de TI3 Definido cuando Existe un proceso definido y documentado para administrar los recursos humanos de TI. Existe un plan de administracin de recursos humanos. Existe un enfoque estratgico para la contratacin y la administracin del personal de TI. El plan de entrenamiento formal est diseado para satisfacer las necesidades de los recursos humanos de TI. Est establecido un programa de rotacin, diseado para expandir las habilidades gerenciales y de negocio.4 Administrado y Medible cuando La responsabilidad de la elaboracin y el mantenimiento de un plan de administracin de recursos humanos para TI ha sido asignado a un individuo o grupo con las habilidades y experiencia necesarias para elaborar y mantener el plan. El proceso para elaborar y mantener el plan de administracin de recursos humanos TI responde al cambio. La organizacin cuenta con mtricas estandarizadas que le permiten identificar desviaciones respecto al plan de administracin de recursos humanos de TI con nfasis especial en el manejo del crecimiento y rotacin del personal. Las revisiones de compensacin y de desempeo se estn estableciendo y se comparan con otras organizaciones de TI y con las mejores prcticas de la industria. La administracin de recursos humanos es proactiva, tomando en cuenta el desarrollo de un plan de carrera.5 Optimizado cuandoEl plan de administracin de recursos humanos de TI se actualiza de forma constante para satisfacer los cambiantes requerimientos del negocio. La administracin de recursos humanos de TI est integrada y responde a la direccin estratgica de la entidad. Los componentes de la administracin de recursos humanos de TI son consistentes con las mejores prcticas de la industria, tales como compensacin, revisiones de desempeo, participacin en foros de la industria, transferencia de conocimiento, entrenamiento y adiestramiento. Los programas de entrenamiento se desarrollan para todos los nuevos estndares tecnolgicos y productos antes de su implantacin en la organizacinPO8 Gestionar la calidad3 Definido cuando La direccin ha comunicado un proceso definido de QMS e involucra a TI y a la gerencia del usuario final. Un programa de educacin y entrenamiento est surgiendo para instruir a todos los niveles de la organizacin sobre el tema de la calidad. Se han definido expectativas bsicas de calidad y stas se comparten dentro de los proyectos y la organizacin de TI. Estn surgiendo herramientas y prcticas comunes para administrar la calidad. Las encuestas de satisfaccin de la calidad se planean y ocasionalmente se aplican.
4 Administrado y Medible cuando El QMS est incluido en todos los procesos, incluyendo aquellos que dependen de terceros. Se est estableciendo una base de conocimiento estandarizada para las mtricas de calidad. Se usan mtodos de anlisis de costo/beneficio para justificar las l uso de benchmarking contra la industria y con los competidores. Se ha institucionalizado un programa de dad. Se estn estandarizando de forma peridica. Se conducen encuestas de satisfaccin de calidad El QMS est integrado y se aplica a todas las actividades de TI. Los procesos de QMS son flexibles y adaptables a los cambios en el ambiente de TI. Se mejora la base de conocimientos para mtricas de calidad con las mejores prcticas externas. Se realiza benchmarking contra estndares externos rutinariamente. Las encuestas de satisfaccin de la calidad constituyen un proceso constante y conducen al anlisis de causas raz y a medidas de mejora. Existe aseguramiento formal sobre el nivel de los procesos de administracin de la calidad.5 optimizado cuandoEl QMS est integrado y se aplica a todas las actividades de TI. Los procesos de QMS son flexibles y adaptables a los cambios en el ambiente de TI. Se mejora la base de conocimientos para mtricas de calidad con las mejores prcticas externas. Se realiza benchmarking contra estndares externos rutinariamente. Las encuestas de satisfaccin de la calidad constituyen un proceso constante y conducen al anlisis de causas raz y a medidas de mejora. Existe aseguramiento formal sobre el nivel de los procesos de administracin de la calidad.PO9 Evaluar y manejar los riesgos de TI3 Definido cuandoUna poltica de administracin de riesgos para toda la organizacin define cundo y cmo realizar las evaluaciones de riesgos. La administracin de riesgos sigue un proceso definido, el cual est documentado. El entrenamiento sobre administracin de riesgos est disponible para todo el personal. La decisin de seguir el proceso de administracin de riesgos y de recibir entrenamiento se deja a la discrecin del individuo. La metodologa para la evaluacin de riesgos es convincente y slida, y garantiza que los riesgos claves para el negocio sean identificados. Un proceso para mitigar los riesgos clave por lo general se institucionaliza una vez que los riesgos se identifican. Las descripciones de puestos consideran las responsabilidades de administracin de riesgos.4 Administrado y medible cuandoLa evaluacin y administracin de riesgos son procedimientos estndar. Las excepciones al proceso de administracin de riesgos se reportan a la gerencia de TI. La administracin de riesgos de TI es una responsabilidad de alto nivel. Los riesgos se evalan y se mitigan a nivel de proyecto individual y tambin por lo regular se hace con respecto a la operacin global de TI. La gerencia recibe notificacin sobre los cambios en el ambiente de negocios y de TI que pudieran afectar de manera significativa los escenarios de riesgo relacionados con TI. La gerencia puede monitorear la posicin de riesgo y tomar decisiones informadas respecto a la exposicin que est dispuesta a aceptar. Todos los riesgos identificados tienen un dueo nombrado, y la alta direccin, as como la gerencia de TI han determinado los niveles de riesgo que la organizacin est dispuesta a tolerar. La gerencia de TI ha elaborado medidas estndar para evaluar el riesgo y para definir las proporciones riesgo/retorno. La gerencia presupuesta un proyecto de administracin de riesgo operativo para re-evaluar los riesgos de manera regular. Se establece una base de datos de administracin de riesgos, y parte del proceso de administracin de riesgos se empieza a automatizar. La gerencia de TI considera las estrategias de mitigacin de riesgo.5 Optimizado cuandoLa administracin de riesgos ha evolucionado al nivel en que un proceso estructurado est implantado en toda la organizacin y es bien administrado. Las buenas prcticas se aplican en toda la organizacin. La captura, anlisis y reporte de los datos de administracin de riesgos estn altamente automatizados. La orientacin se toma de los lderes en el campo y la organizacin de TI participa en grupos de inters para intercambiar experiencias. La administracin de riesgos est altamente integrada en todo el negocio y en las operaciones de TI, est bien aceptada, y abarca a los usuarios de servicios de TI. La direccin detecta y acta cuando se toman decisiones grandes de inversin o de operacin de TI, sin considerar el plan de administracin de riesgos. La direccin evala las estrategias de mitigacin de riesgos de manera continua.PO10 Administrar los proyectos de TI3 Definido cuando El proceso y la metodologa de administracin de proyectos de TI han sido establecidos y comunicados. Los proyectos de TI se definen con los objetivos tcnicos y de negocio adecuados. La alta direccin del negocio y de TI, empiezan a comprometerse y a participar en la administracin de los proyectos de TI. Se ha establecido una oficina de administracin de proyectos dentro de TI, con roles y responsabilidades iniciales definidas. Los proyectos de TI se monitorean, con puntos clave, cronogramas y mediciones de presupuesto y desempeo definidos y actualizados. Existe entrenamiento para la administracin de proyectos. El entrenamiento en administracin de proyectos es un resultado principalmente de las iniciativas individuales del equipo. Los procedimientos de aseguramiento de calidad y las actividades de implantacin post-sistema han sido definidos, pero no se aplican de manera amplia por parte de los gerentes de TI. Los proyectos se empiezan a administrar como portafolios. 4 Administrado y Medible cuando La gerencia requiere que se revisen mtricas y lecciones aprendidas estandarizadas y formales despus de terminar cada proyecto. La administracin de proyectos se mide y evala a travs de la organizacin y no slo en TI. Las mejoras al proceso de administracin de proyectos se formalizan y comunican y los miembros del equipo reciben entrenamiento sobre estas mejoras. La gerencia de TI implementa una estructura organizacional de proyectos con roles, responsabilidades y criterios de desempeo documentados. Los criterios para evaluar el xito en cada punto clave se han establecido. El valor y el riesgo se miden y se administran, antes, durante y al final de los proyectos. Cada vez ms, los proyectos abordan las metas organizacionales, en lugar de abordar solamente las especficas a TI. Existe un apoyo fuerte y activo a los proyectos por parte de los patrocinadores de la alta direccin, as como de los interesados. El entrenamiento relevante sobre administracin de proyectos se planea para el equipo en la oficina de proyectos y a lo largo de la funcin de TI. 5 Optimizado cuando Se encuentra implantada una metodologa comprobada de ciclo de vida de proyectos, la cual se refuerza y se integra en la cultura de la organizacin completa. Se ha implantado una iniciativa continua para identificar e institucionalizar las mejores prcticas de administracin de proyectos. Se ha definido e implantado una estrategia de TI para contratar el desarrollo y los proyectos operativos. Una oficina de administracin de proyectos integrada es responsable de los proyectos y programas desde su concepcin hasta su post-implantacin. La planeacin de programas y proyectos en toda la organizacin garantiza que los recursos de TI y del usuario se utilizan de la mejor manera para apoyar las iniciativas estratgicas.
9. CONCLUSIONESEl estndar COBIT 4.1 ofrece al as empresas un marco de trabajo de alto nivel para la definicin y evaluacin de los procesos de negocios relacionados con los Sistemas de Informacin. COBIT se aplica a los sistemas de informacin de toda una organizacin, anexando los equipos de cmputo, las redes, etc. Est basado en que primero est ante todo el control, as como que los recursos de las TI deben ser gestionados por un conjunto de procesos agrupados para brindar la informacin pertinente y confiable que una organizacin necesita para alcanzar sus objetivos de negocio.
10. REFERENCIAS BIBLIOGRFICAS
Varios Autores (2007). IT Governance Institute. COBIT 4.1, 6-72. Tomado de: http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
63
