COBIT

1
l
Ing. Omar Neyra Crdova
Auditor de Tecnologas de la Informacin
Aud|tor|a y Cob|erno de
Tecno|og|as de |nformac|n
[T|}
6ob|t 4.1
Aud|tor|a y Cob|erno de
Tecno|og|as de |nformac|n
[T|}
6ob|t 4.1
!
lrl(oducc|r lrl(oducc|r a |a Aud|lo(|a a |a Aud|lo(|a
de Tl. de Tl.
2
!
60N6EPT0 0E AU0|T0R|A 60N6EPT0 0E AU0|T0R|A
La La pa|ao(a pa|ao(a aud|lo(|a aud|lo(|a v|ere v|ere de| de| |alir |alir aud|lo(|us aud|lo(|us vv de de esla esla p(ov|ere p(ov|ere
aud|lo(. aud|lo(. cue cue l|ere l|ere |a |a v|(lud v|(lud de de oi( oi( vv (ev|sa( (ev|sa( cuerlas. cuerlas. pe(o pe(o deoe deoe esla( esla(
ercar|rado ercar|rado aa ur ur oojel|vo oojel|vo especil|co especil|co cue cue es es e| e| de de eva|ua( eva|ua( |a |a
el|c|erc|a el|c|erc|a vv el|cac|a el|cac|a cor cor cue cue se se esl esl ope(ardo ope(ardo pa(a pa(a cue. cue. po( po( red|o red|o
de| de| sera|ar|erlo sera|ar|erlo de de cu(sos cu(sos a|le(ral|vos a|le(ral|vos de de acc|r. acc|r. se se lorer lorer
dec|s|ores dec|s|ores cue cue pe(r|lar pe(r|lar co((ed|( co((ed|( |os |os e((o(es. e((o(es. er er caso caso de de cue cue
ex|slar. ex|slar. oo o|er o|er rejo(a( rejo(a( |a |a lo(ra lo(ra de de acluac|r acluac|r..
J
0ef|n|c|n de Aud|tor|a de 8|stemas es:
La aud|tor|a de |os s|stemas de |nformac|n es e| proceso de
reco|ectar y eva|uar ev|denc|a que perm|ta determ|nar s| un s|stema
de cmputo sa|vaguarda |os act|vos de |nformac|n, mant|ene |a
|ntegr|dad de |os datos, perm|te que |a organ|zac|n |ogre a|canzar de
manera efect|va sus objet|vos y haga uso ef|c|ente de |os recursos.
La aud|tor|a es una func|n de contro| |ndepend|ente que en forma
s|stemt|ca y ordenada debe:
a} 6omparar |a caracter|st|ca o cond|c|n contro|ada, con
respecto a |as pautas, normas o e|ementos ut|||zados para
med|r|a.
b} 0eterm|nar |os desv|os.
c} |nformar a qu|en ordena o contrata |a aud|tor|a, que
jerrqu|camente debe estar por enc|ma de| s|stema aud|tado.
3
T|P08 0E AU0|T0R|A
Ex|sten a|gunos t|pos de aud|tor|a entre |as que |a Aud|tor|a de
8|stemas |ntegra un mundo para|e|o pero d|ferente y pecu||ar
resa|tando su enfoque a |a func|n |nformt|ca.
F|nanc|era.
0perac|ona|.
8|stemas.
Forense.
Adm|n|strat|va.
6a||dad.
Hd|ca.
|0ENT|F|6AR L08 FUN0AHENT08 0E LA AU0|T0R|A

Los Fundamentos son Los Fundamentos son::
Aud|tor|a |nterna.
Ex|sle po( exp(esa dec|s|r de |a erp(esa. es dec|( cue laro|r se puede
opla( po( su d|so|uc|r er cua|cu|e( rorerlo.
Aud|tor|a Externa.
Es (ea||zada po( pe(soras al|res a |a erp(esa se p(esupore ura ravo(
oojel|v|dad cue er |a aud|lo(|a |rle(ra deo|do A| ravo( d|slarc|ar|erlo
erl(e aud|lo( v aud|lado.
La aud|lo(|a |rlo(rl|ca larlo |rle(ra coro exle(ra deoe se( ura acl|v|dad
exerla de cua|cu|e( corler|do o ral|z po|il|co ajera a |a p(op|a esl(aled|a
v po|il|ca dere(a| de |a erp(esa..
Aud|lo(|a lrle(ra Y Aud|lo(|a Exle(ra
La aud|lo(|a es (ea||zada er (ecu(sos
rale(|a|es v pe(soras cue pe(lerecer a |a
erp(esa aud|lada.
4
i
0ef|n|r |a metodo|og|a de aud|tor|a
8ujeto de |a aud|tor|a: lderl|l|ca( e| (ea cue se( aud|lada.
0bjet|vo de |a aud|tor|a: lderl|l|ca( e| p(ops|lo de |a aud|lo(ia.
A|cance de |a aud|tor|a: lderl|l|ca( |os s|sleras especil|cos. |a lurc|r o ur|dad de |a
o(dar|zac|r a se( |rc|u|da er |a (ev|s|r.
P|aneam|ento pre||m|nar de |a aud|tor|a: lderl|l|ca( |as rao|||dades v |os (ecu(sos
lcr|cos cue se reces|lar. |derl|l|ca( |as luerles de |a |rlo(rac|r a se( (ev|sada. e
|derl|l|ca( |a uo|cac|r de |as |rsla|ac|ores dorde se (ea||za( e| l(aoajo.
Proced|m|entos de aud|tor|a y pasos para |a reco|ecc|n de datos: lderl|l|ca( v
se|ecc|ora( e| rlodo de aud|lo(ia pa(a ve(|l|ca( v corp(ooa( |os corl(o|es. lderl|l|ca( |a
||sla de pe(soras a erl(ev|sla(. lderl|l|ca( |os docurerlos a se( (ev|sados
|p(oced|r|erlos. po|il|cas. erl(e ol(os).
Proced|m|entos para eva|uar |a prueba y rev|sar |os resu|tados.
Proced|m|entos para |a comun|cac|n con |a gerenc|a.
E|aborac|n de| reporte de aud|tor|a: P(eserlac|r de ra||azdos. ev|derc|as.
(ecorerdac|ores v acc|ores sude(|das
\
0bjet|vos de |a aud|tor|a |nformt|ca
a} Un objet|vo de contro| se ref|ere a cmo un contro| |nterno debe
func|onar, m|entras que un objet|vo de |a aud|tor|a se ref|ere a |os
objet|vos espec|f|cos de rev|s|n que se qu|eren obtener como
resu|tado de |a aud|tor|a.
b} Los objet|vos de |a aud|tor|a |nc|uyen |a rev|s|n de| cump||m|ento de
requer|m|entos |ega|es y regu|ator|os as| como |a conf|denc|a||dad,
|ntegr|dad, f|ab|||dad, y d|spon|b|||dad de |a |nformac|n.
c} Un e|emento c|ave en |a p|an|f|cac|n es |a def|n|c|n de objet|vos
espec|f|cos, basados en |os objet|vos de a|to n|ve| de |a aud|tor|a.
d} Uno de |os objet|vos pr|nc|pa|es de |a aud|tor|a es |a |dent|f|cac|n de
|os objet|vos de contro| y |os contro|es |mp|ementados para |ograr e|
objet|vo.
e} En genera| |a a|ta d|recc|n genera|mente estab|ece |os objet|vos
genera|es de |a aud|tor|a de s|stemas de |nformac|n.
5
6|c|o de contro| y aud|tor|a 6|c|o de contro| y aud|tor|a
E| desarro||o y aud|tor|a de un contro| en e| entorno
|nformt|co en genera| corresponde a |a neces|dad de m|t|gar o
e||m|nar un r|esgo que atente contra |a |nformac|n y |os
s|stemas que |a cont|enen.
E| desarro||o y aud|tor|a de un contro| en e| entorno
|nformt|co en genera| corresponde a |a neces|dad de m|t|gar o
e||m|nar un r|esgo que atente contra |a |nformac|n y |os
s|stemas que |a cont|enen.
I
lI
La de(erc|a de aud|lo(|a deoe lere( ur erlerd|r|erlo de |os
(ecu(sos d|spor|o|es derl(o de |a o(dar|zac|r pa(a ||eva( a
caoo |as aud|lo(|as er |a lo(ra adecuada. Los Aud|lo(es
pueder p(over|( de ruv d|ve(sos red|os. raoe( s|do
p(od(arado(es. aud|lo(es l|rarc|e(os o raoe(se d(aduado de
|a ur|ve(s|dad (ec|erlererle cor d|le(erles lilu|os. 3us
r|ve|es de expe(|erc|a pod(iar |( desde aud|lo(es ca||l|cados
po( Cl3A s|r expe(|erc|a rasla expe(|rerlados..
|ntegrantes de| Equ|po de Aud|tor|a
6
ll
E| Aud|lo( deoe pode( (ev|sa( |a |rlo(rac|r er ousca de ur s|slera
er pa(l|cu|a( v dele(r|ra( s| sle s|due |as ro(ras de docurerlac|r
de |a 0(dar|zac|r.
Los Aud|lo(es deoer lere( ur p(od(ara de sedu|r|erlo pa(a
dele(r|ra( s| se rar |rp|ererlado |as acc|ores co((ecl|vas aco(dadas.
Los aud|lo(es deoer esla( corsc|erles de cue er u|l|ra |rslarc|a
e||os sor |os (esporsao|es l(erle a |a 0e(erc|a P(|rc|pa| v F(erle a|
Cor|l de Aud|lo(|a de |a Jurla 0|(ecl|va.
Responsab|||dades de| Aud|to Responsab|||dades de| Aud|torr
l!
La ev|derc|a es cua|cu|e( |rlo(rac|r usada po( e| Aud|lo( de l3
pa(a dele(r|ra( s| |a erl|dad o |os dalos cue eslr s|erdo
aud|lados curp|er cor |os c(|le(|os u oojel|vos de aud|lo(|a
eslao|ec|dos.
La ev|derc|a de aud|lo(|a puede |rc|u|( oose(vac|ores de| Aud|lo( de
rolas loradas de |as erl(ev|slas. rale(|a| exl(aido de |a
co((esporderc|a v docurerlac|r |rle(ra o |os (esu|lados de |os
p(oced|r|erlos de p(ueoa de aud|lo(|a.
Ev|denc|as vs Ev|denc|as vs Exper|enc|a
7
l!
3| ur Aud|lo( ro l|ere ur ouer erlerd|r|erlo de| (ea lcr|ca cue esl
er (ev|s|r. |a |rlo(rac|r (ecod|da de |as p(ueoas de cue e| (ea
puede ro se( corl|ao|e er pa(l|cu|a( s| e| Aud|lo( ro erl|erde |a p(ueoa
po( corp|elo.
E| Aud|lo( deoe(ia corcerl(a(se er |os oojel|vos dere(a|es de |a
(ev|s|r v ro er |a ralu(a|eza de |as ev|derc|as (ecod|das. 3e
deoe(ia ap||ca( ur ouer c(|le(|o pa(a dele(r|ra( cu rale(|a| es
d|(eclarerle ap(op|ado pa(a |os oojel|vos de |a aud|lo(|a v cu
rale(|a| ro |o es.
Ev|denc|as vs Ev|denc|as vs Exper|enc|a
lJ
Aud|lo(ia de Ap||cac|ores er lurc|orar|erlo
Aud|lo(ia er Cerl(os de P(ocesar|erlo E|ecl(r|co de 0alos.
Aud|lo(ia de 8ases de 0alos..
Aud|lo(ia er 0esa((o||o de 3|sleras. Eslud|os de lacl|o|||dad.
Aud|lo(ia er V|c(o|rlo(rl|ca
Aud|lo(ia de |as Te|ecorur|cac|ores v (edes de dalos.
Aud|lo(ia a La 3edu(|dad de Los 3|sleras de lrlo(rac|r
Aud|lo(ia a |8CP) P|ar de Corl|ru|dad de| Nedoc|o.
T|P08 0E AU0|T0R|A F0RHA8 Y HET0008 0E
0E8ARR0LL0
8
l
lrl(oducc|r a| Corl(o| lrl(oducc|r a| Corl(o|
lrle(ro er Tl lrle(ro er Tl
l
0ef|n|c|n de| 6080 ERH
"Es un proceso efectuado por la Junta de 0irectores, la
administracion y el personal de la entidad, aplicado en el
establecimiento de estrategias y en toda la empresa,
disenado para identificar posibles eventos que podrian
afectar a la entidad, y para controlar los riesgos dentro
de limites razonables a fin de proporcionar una
seguridad razonable respecto a la consecucion de los
objetivos de la entidad"
9
li
Ambiente Interno Ambiente Interno
Identificacin de Eventos
Evaluacin del Riesgo
Respuesta al Riesgo
Establecimiento de Objetivos
Actividades de Control
Informacin y Comunicacin
Supervisin
6omponentes de 6080 ERH
l\
"8takeho|ders" 6orporat|vos
A|ta 0|recc|n
6om|tes 0|rect|vos
6om|te de
Cob|erno
6om|t de
Aud|tor|a
Cerente 8en|or
0f|c|a|
Et|co
0f|c|a| de
6onform|dad
6F0 6|0
P(od(ara
El|co
P(od(ara de
Corlo(r|dad
P(od(ara
Adr.F|r.
P(od(ara de
3edu(|dad de
La lrlo(rac|r
Po||t|cas, Pract|cas & 6u|tura
6om|te de
Eva|uac|n
EF acceso a
|a |rlo(rac|r.
Persona|
|ndepende
nc|a
6om|tes
Aseguram|
ento
Pr|nc|p|os
de
Cob|erno.
Aud|tor|a |nterna
Aud|tor|a Externa
Et|ca
R|esgo
6ontro|
Exact|tud de EF
10
lI
0oo|e(ro de Tecro|odias de 0oo|e(ro de Tecro|odias de
|a lrlo(rac|r |a lrlo(rac|r
!I
Procesos
de Negocio
Procesos de T
X: Adquisiciones X: Call Center X: OyM
Servidor de
Aplicaciones
Servidor
Integrador
Call Center
OyM
Cargos
Finanzas
X: Cargos X: Finanzas
8oftware
Hardware
Acl|v|dades
wo(|l|oW
Erl|dades/0ocurerlos
Aclo(es de| redoc|o
F|ujos de |rlo(rac|r
0ojelos de redoc|o
Aclo(es de Tl
Versajes/0pe(ac|ores
0|ad(aras de lrle(acc|r
Ap||cac|ores
30
3e(v|do( de ap||cac|ores
8ase de dalos
lrle(laces. lrled(ac|r
3e(ve( &V|dd|eWa(e
3e(v|do(es lis|cos
0|scos
Pueslos de T(aoajo
Redes & F|(eWa||
Los procesos de| negoc|o y |a tecno|og|a de Los procesos de| negoc|o y |a tecno|og|a de
|nformac|n |nformac|n
Fuerle: 2001 V|c(osoll EVEA Fo(ur. 'A(cr|lecl|rd lo( 8us|ress Ad|||lv'. J. EosWo(lr - Capder|r|.
11
!l
Neces|dad de respuesta a |os
retos de T|
0u no se |nterrumpa e| serv|c|o
0u aporte va|or
Adm|n|strar |os costos
0om|nar |a comp|ej|dad
A||neac|n con e| Negoc|o
6ump||m|ento de Regu|ac|ones
8egur|dad.
0u no se |nterrumpa e| serv|c|o
0u aporte va|or
Adm|n|strar |os costos
0om|nar |a comp|ej|dad
A||neac|n con e| Negoc|o
6ump||m|ento de Regu|ac|ones
8egur|dad.
Los 7 retos:
!!
El El manejo manejo de de la la 7l 7l es es responsabilidad responsabilidad tanto tanto de de la la
direccion direccion como como de de la la administracion administracion ejecutiva ejecutiva.. Es Es
parte parte integral integral del del manejo manejo empresarial empresarial yy consiste consiste en en
el el liderazgo, liderazgo, las las estructuras estructuras de de la la organizacion organizacion yy los los
procesos procesos para para asegurar asegurar que que la la 7l 7l mantenga mantenga yy
amplie amplie los los objetivos objetivos yy estrategias estrategias de de la la Empresa Empresa..
12
!!
Cob|erno de Tecno|og|a de Cob|erno de Tecno|og|a de
|nformac|n |nformac|n
Directrices.
Valor a los
interesados
(stakeholders)
Generacin de
valor de TI
Administracin
de riesgos
(relacionados
con TI)
Medicin de
Desempeo
Alineamiento
estratgico de TI
!J
8uEN 008lERN0 0E Tl 8uEN 008lERN0 0E Tl
0|r|g|r y contro|ar
6on responsab|||dad
6on |mputab|||dad [Accountab|||ty}
Hed|ante act|v|dades [Procesos}
0|r|g|r y contro|ar
6on responsab|||dad
6on |mputab|||dad [Accountab|||ty}
Hed|ante act|v|dades [Procesos}
Principios, participantes, mbito, ventajas .
Los 4 principios:
13
!
0u es C08lT ? 0u es C08lT ?
!
|nvest|gar, desarro||ar, pub||car y promover un conjunto de
Hejores prct|cas en objet|vos de contro| para Tecno|og|a,
con autor|dad, actua||zados, |nternac|ona|es y genera|mente
aceptados para e| uso cot|d|ano por d|rect|vos y aud|tores.
|nvest|gar, desarro||ar, pub||car y promover un conjunto de
Hejores prct|cas en objet|vos de contro| para Tecno|og|a,
con autor|dad, actua||zados, |nternac|ona|es y genera|mente
aceptados para e| uso cot|d|ano por d|rect|vos y aud|tores.
MISION DE COBIT
CC Control
OB OB OBjectives
II for Information
TT and Related Technology
0|rectr|ces Cerenc|a|es 60|T
14
!i
0RlENTACl0N 0E C08lT 0RlENTACl0N 0E C08lT
8u or|entac|n hac|a e| negoc|o cons|ste en v|ncu|ar objet|vos de
negoc|o con objet|vos de T|, fac|||tar mtr|cas y mode|os de
madurez para med|r su x|to, e |dent|f|car |as responsab|||dades
asoc|adas de| negoc|o y |os prop|etar|os de |os procesos de T|.
8u or|entac|n hac|a e| negoc|o cons|ste en v|ncu|ar objet|vos de
negoc|o con objet|vos de T|, fac|||tar mtr|cas y mode|os de
madurez para med|r su x|to, e |dent|f|car |as responsab|||dades
asoc|adas de| negoc|o y |os prop|etar|os de |os procesos de T|.
"EhFD0/0D Eh El hESD0lD. DRlEhT/0D / PRD0E$D.
3/$/0D Eh 0DhTRDlE$ Y 0lRlSl0D PDR VE0l0/$.
!\
Estndares Estndares profes|ona|es profes|ona|es
SIAS SIAS
Normas Generales de Negocio
Normas detalladas de Tecnologia
-- Balanced Scorecard Balanced Scorecard
-- ISO 9000 ISO 9000
-- Six Sigma Six Sigma
NASI NASI NAGA NAGA
15
!I
Esl(uclu(a de C08lT Esl(uclu(a de C08lT
!I
VARC0 0E TRA8AJ0 0ENERAL 0E C08lT VARC0 0E TRA8AJ0 0ENERAL 0E C08lT
OBJETIVOS DE NEGOCIO
GOBIERNO DE TI
COBIT
PLANEACIN Y
ORGANIZACIN
MONITOREO Y
EVALUACION
ENTREGA Y
SOPORTE
ADQUISICIN E
IMPLEMENTACIN
INFORMACIN
RECURSOS DE TI
- Efectividad
- Eficiencia
- Confidencialidad
- Integridad
- Disponibilidad
- Cumplimiento
- Confiabilidad
- Datos
- Sistemas de Aplicacin
- Tecnologa
- Instalaciones
- Gente
PO
A D8
ME
16
!l
AL|NEAN00 6R|TER|08, PR06E808, RE6UR808 Y
0JET|V08 0E 60NTR0L
Dominios
Procesos
Actividades
P
e
r
s
o
n
a
s
A
p
|
|
c
a
c
|
o
n
e
s
|
n
f
r
a
e
s
t
r
u
c
t
u
r
a
0om|n|os
Procesos
Act|v|dades
|
n
f
o
r
m
a
c
|
n
Criterios de Informacin
!!
Erlocue de Nedoc|os Erlocue de Nedoc|os
17
!!
ENF00uE PRlNClPAL 0E C08lT ENF00uE PRlNClPAL 0E C08lT
ARMONI
ZACIN
DEFINICIONE
S Y FLUJO DE
PROCESOS
REQUERI-
MIENTOS
DE
NEGOCIO
GOBIERNO
DE TI
RETROALI-
MENTACIN
ARQUITECTUR
A
EMPRESARIAL
Y PRESENTACIN
LENGUAJE
Mejor involucramiento con
las prcticas de gobierno
en los procesos clave,
permitiendo a los
ejecutivos y al negocio
asumir sus
responsabilidades.
Integracin ms clara entre
los objetivos de negocio y
de TI, mediante objetivos
en el modelo de cascada y
mtricas que lo soportan.
Integracin optimizada con
otras prcticas importantes
Optimizacin en la
descripcin de los
procesos, actividades,
entradas y salidas.
Ms conciso, orientado a
acciones y consolidado en
un libro
Responde a
comentarios de
los usuarios
Estructura de procesos
y recursos
!J
Nuevos Estndares para mejorar e| proceso de Nuevos Estndares para mejorar e| proceso de
T.|. T.|.
ISO17799....27001
BS7799
ISO9001
PMI
ITIL
ISO17799....27001
BS7799
ISO9001
PMI
ITIL
COBIT
18
!
ARV0NlZACl0N ARV0NlZACl0N
Vode|o de 0pe(ac|r Vode|o de 0pe(ac|r -- 0(dar|zac|r 0(dar|zac|r
Controles para Auditoria
A
d
m
i
n
i
s
t
r
a
c
i
n
d
e

S
e
r
v
i
c
i
o
s
D
e
s
a
r
r
o
l
l
o

d
e

A
p
l
i
c
a
c
i
o
n
e
s
A
d
m
i
n
i
s
t
r
a
c
i
n
d
e

P
r
o
y
e
c
t
o
s
P
l
a
n
e
a
c
i
n
d
e

T
I
S
e
g
u
r
i
d
a
d

d
e

T
I
S
i
s
t
e
m
a
d
e

C
a
l
i
d
a
d
ITIL
CMM BS 7799 PMI
ISO
COSO
EA
(Gartner)
RIESGOS
Sistemas y Modelos de
Referencia
Sistemas y Modelos de
Referencia
Sarbanes
Oxley
COBIT
!
8asado er Corl(o|es 8asado er Corl(o|es
19
!i
"las oo|ir|cas. oroceo|m|enros. oracr|cas y
esrrucruras oroan|zac|ona|es o|senaoos oara
oaranr|zar razonao|emenre oue se a|canzaran |os
oo|er|vos oe| neooc|o y oue se orevenoran o
oerecraran y correo|ran evenros no oeseao|es
"las oo|ir|cas. oroceo|m|enros. oracr|cas y
esrrucruras oroan|zac|ona|es o|senaoos oara
oaranr|zar razonao|emenre oue se a|canzaran |os
oo|er|vos oe| neooc|o y oue se orevenoran o
oerecraran y correo|ran evenros no oeseao|es
0EF|N|6|0N 0E 60NTR0L
!\
V00EL0 0E C0NTR0L V00EL0 0E C0NTR0L
El modelo de control
estndar, sigue los
principios que se
evidencian en la
siguiente analoga:
cuando se ajusta la
temperatura ambiente
(estndar) para el
sistema de calefaccin
(proceso), el sistema
verificar de forma
constante (comparar)
la temperatura
ambiente (inf. de
control) e indicar
(actuar) al sistema de
calefaccin para que
genere ms o menos
calor.
20
!I
6ontro|es y Responsab|||dades 6ontro|es y Responsab|||dades
E| erlerd|r|erlo de |os (o|es v (esporsao|||dades pa(a cada p(oceso es c|ave
pa(a ur doo|e(ro elecl|vo. C08lT proporc|ona una grf|ca RA6| [qu|n es
responsab|e, qu|n r|nde cuentas, qu|n es consu|tado y qu|en
|nformado} para cada proceso. Rerd|( cuerlas s|dr|l|ca '|a (esporsao|||dad
le(r|ra acui'- esta es |a persona que provee autor|zac|n y
d|recc|onam|ento a una act|v|dad.
Resporsao|||dad se (el|e(e a |a pe(sora cue (ea||za |a acl|v|dad. Los ol(os dos
(o|es |corsu|lado e |rlo(rado) garant|zan que todas |as personas que son
requer|das estn |nvo|ucradas y dan soporte a| proceso.
Los ro|es que se presentan en una grf|ca RA6|, por sus s|g|as en |ng|s
son:
Responsab|e de [Respons|b|e} [R}
Responsab|e ante [Accountab|e} [A}
6onsu|tado [6onsu|ted} [6}
|nformado [|nformed} [ | }
E| erlerd|r|erlo de |os (o|es v (esporsao|||dades pa(a cada p(oceso es c|ave
pa(a ur doo|e(ro elecl|vo. C08lT proporc|ona una grf|ca RA6| [qu|n es
responsab|e, qu|n r|nde cuentas, qu|n es consu|tado y qu|en
|nformado} para cada proceso. Rerd|( cuerlas s|dr|l|ca '|a (esporsao|||dad
le(r|ra acui'- esta es |a persona que provee autor|zac|n y
d|recc|onam|ento a una act|v|dad.
Resporsao|||dad se (el|e(e a |a pe(sora cue (ea||za |a acl|v|dad. Los ol(os dos
(o|es |corsu|lado e |rlo(rado) garant|zan que todas |as personas que son
requer|das estn |nvo|ucradas y dan soporte a| proceso.
Los ro|es que se presentan en una grf|ca RA6|, por sus s|g|as en |ng|s
son:
Responsab|e de [Respons|b|e} [R}
Responsab|e ante [Accountab|e} [A}
6onsu|tado [6onsu|ted} [6}
|nformado [|nformed} [ | }
JI
6ontro|es y Responsab|||dades 6ontro|es y Responsab|||dades
Los ro|es en |a grf|ca RA6| estn c|as|f|cados para todos |os procesos como
s|gue:
0|(eclo( ejecul|vo |CE0)
0|(eclo( l|rarc|e(o |CF0)
Ejecul|vos de| redoc|o
0|(eclo( de |rlo(rac|r |Cl0)
P(op|ela(|o de| p(oceso de redoc|o
Jele de ope(ac|ores
A(cu|leclo er jele
Jele de desa((o||o
Jele de adr|r|sl(ac|r de Tl |pa(a erp(esas d(ardes. e| jele de lurc|ores
coro (ecu(sos ruraros. p(esupueslos v corl(o| |rle(ro)
La ol|c|ra o lurc|r de adr|r|sl(ac|r de p(oveclos |PV0)
Curp||r|erlo. aud|lo(ia. (|esdo v sedu(|dad |d(upos cor (esporsao|||dades de
corl(o| cue ro l|erer (esporsao|||dades ope(ac|ora|es de Tl)
Los ro|es en |a grf|ca RA6| estn c|as|f|cados para todos |os procesos como
s|gue:
0|(eclo( ejecul|vo |CE0)
0|(eclo( l|rarc|e(o |CF0)
Ejecul|vos de| redoc|o
0|(eclo( de |rlo(rac|r |Cl0)
P(op|ela(|o de| p(oceso de redoc|o
Jele de ope(ac|ores
A(cu|leclo er jele
Jele de desa((o||o
Jele de adr|r|sl(ac|r de Tl |pa(a erp(esas d(ardes. e| jele de lurc|ores
coro (ecu(sos ruraros. p(esupueslos v corl(o| |rle(ro)
La ol|c|ra o lurc|r de adr|r|sl(ac|r de p(oveclos |PV0)
Curp||r|erlo. aud|lo(ia. (|esdo v sedu(|dad |d(upos cor (esporsao|||dades de
corl(o| cue ro l|erer (esporsao|||dades ope(ac|ora|es de Tl)
21
Jl
A
p
l
i
c
a
c
i
o
n
e
s
I
n
f
o
r
m
a
c
i
n
I
n
f
r
a
e
s
t
r
u
c
t
u
r
a
P
e
r
s
o
n
a
s
Objetivos de Negocios
Directivas de Gobierno
Resultados del Negocio
Procesos de TI
Metas de TI
Adm|n|strac|n de 6ob|T, 6ontro|, A||neam|ento y Hon|toreo
Criterio de
Informacin
Recursos de
TI
Procesos de
TI
Objetivos de
Control Alto Nivel
Indicadores
de Ejecucin KPI
Indicadores
de Logros KGI
J!
Harco de Ap||cac|n Harco de Ap||cac|n
22
J! J!
3.10.Corl(o|es pa(a |as Tecro|odias de lrlo(rac|r v
Corur|cac|ores"
'Las acl|v|dades de corl(o| de |as TlC |rc|uver corl(o|es cue
da(arl|zar e| p(ocesar|erlo de |a |rlo(rac|r pa(a e|
curp||r|erlo r|s|ora| v de |os oojel|vos de |a erl|dad. deo|erdo
esla( d|serados pa(a p(ever|(. delecla( v co((ed|( e((o(es e
|((edu|a(|dades r|erl(as |a |rlo(rac|r l|uve a l(avs de |os
s|sleras
R6 320 -200 - 6C Normas de 6ontro| |nterno
Fech. Pub. 03- 11 -2006 Normas Legales
JJ JJ
Los contro|es de |as T|6 se estab|ecen en:
3|sleras de 3edu(|dad de P|ar|l|cac|r de |a erl|dad ap||crdose
corl(o|es a| desa((o||o. p(oducc|r v sopo(le lcr|co. sed(edac|r de
lurc|ores. sedu(|dad lis|ca v |d|ca. corl|ru|dad de| se(v|c|o.
Las elapas cue deoer corlere( e| d|sero de corl(o|es sor:
||) 0el|r|c|r de (ecu(sos
|||) P|ar|l|cac|r v o(dar|zac|r
||||) Recue(|r|erlo v sa||da de dalos o |rlo(rac|r
||v)Adcu|s|c|r e |rp|ererlac|r
|v) 3e(v|c|os v 3opo(le
|v|) 3edu|r|erlo v Vor|lo(eo
23
J
Cu|a para |a |mp|ementac|n de| 86| de |as ent|dades de| Estado R6- 458- 2008 6C.
8e debe prev|amente estab|ecer una gest|n que |nvo|ucre a |as Tecno|og|as de |a |nformac|n [T|} o Cob|erno
de |a T|. E| buen gob|erno de T| requ|ere d|sc|p||na y comprom|so. Para e||o deben cons|derarse |os s|gu|entes
aspectos:
1} Recordar que |a |mp|ementac|n |nvo|ucra camb|os cu|tura|es as| como nuevos procesos, de ta| manera
que un factor |mportante de x|to es |a promoc|n de estos camb|os.
2} Es esenc|a| que sea aceptado por |os ejecut|vos de |a organ|zac|n 6ontra|or|a Cenera| de |a Repb||ca.
3} Una vez que se ha tomado |a dec|s|n de desarro||ar un marco para e| Cob|erno de T|, e| pr|mer paso es
convencer a |a A|ta 0|recc|n y 0|recc|n Ejecut|va; |o |dea| es que proceda |a aprobac|n de |a A|ta
0|recc|n.
4} 6mo m|n|mo debe crearse un com|t de |nvers|ones en T| para rev|sar, aprobar y def|n|r pr|or|dades
para |as |nvers|ones en T| y un com|t de arqu|tectura para desarro||ar, comun|car e |ntroduc|r una
arqu|tectura de empresa y estndares de T|.
5} 0esarro||ar un proceso de gest|n de| portafo||o de |nvers|ones de T|.
} Asegurarse que |os objet|vos son c|aramente entend|dos.
7} Enfocarse pr|mero en donde es fc|| hacer camb|os y hacer mejoras, part|endo de a||| construyendo una
a |a vez.
8} Cu|ar a| n|ve| gerenc|a| ayudando a a||near |as |n|c|at|vas de T| con |as neces|dades rea|es de |a ent|dad y
asegurarse que se observa e| |mpacto potenc|a| de| negoc|o en |os r|esgos asoc|ados a T|.
J
Por esta razn es |mportante cons|derar estndares o buenas prct|cas en T| ya estab|ec|das a
n|ve| |nternac|ona|. No empezar desde cero. Rev|sar |os marcos ex|stentes [60|T, |T|L, 6HH|,
|80 17799}. 8e sug|ere tomar en cons|derac|n |o s|gu|ente:
Tratar de desarro||ar un marco prop|o
1. 8| |a preocupac|n de |a empresa son |os r|esgos apoyarse en 60|T
2. 8| es |a entrega de serv|c|os 60|T + |T|L
3. 8| es |a segur|dad 60|T + |80 17799
4. Estab|ecer un proceso corporat|vo a |a med|da
5. 6omun|car y aprender; e| gob|erno de T| debe ser cont|nuamente reforzado y exp||cado
ut|||zando |as med|das e |nd|cadores obten|dos
. Ut|||zar e| 6uadro de Hando |ntegra| para |a comun|cac|n de |as med|das de| rend|m|ento y
d|recc|n de T|.
Cu|a para |a |mp|ementac|n de| 86| de |as ent|dades de| Estado R6- 458- 2008 6C.
24
Ji
Navedac|r er C08lT Navedac|r er C08lT
J\ J\
Planificacin
y Organizacin
Adquisicin e
Implementacin
Entrega y
Soporte
Evaluacin y
Monitoreo
Gobierno
de TI
Administracin
de Recursos
P=Primario; S=Secundario
Control sobre el Proceso de TI
Que satisface el requerimiento de negocios de TI para
Focalizndose en
Es conseguido por
Y medido por
Nombre del Proceso
Resumen de las metas de negocio ms importantes
Resumen de las metas de TI ms importantes
Control claves
Indicadores claves (Mtrica)
Modelo de Navegacin CobiT
25
JI
0om|n|o P|anear y 0rgan|zar [P0}
Estn a||neadas |as estrateg|as de T| y de| negoc|o?
La empresa est a|canzando un uso pt|mo de sus recursos?
Ent|enden todas |as personas dentro de |a organ|zac|n |os
objet|vos de T|?
8e ent|enden y adm|n|stran |os r|esgos de T|?
Es aprop|ada |a ca||dad de |os s|stemas de T| para |as
neces|dades de| negoc|o?
Estn a||neadas |as estrateg|as de T| y de| negoc|o?
La empresa est a|canzando un uso pt|mo de sus recursos?
Ent|enden todas |as personas dentro de |a organ|zac|n |os
objet|vos de T|?
8e ent|enden y adm|n|stran |os r|esgos de T|?
Es aprop|ada |a ca||dad de |os s|stemas de T| para |as
Esle dor|r|o cuo(e |os s|du|erles cuesl|orar|erlos lip|cos de |a
de(erc|a:
I
00H|N|0: PLANEAR Y 0RCAN|ZAR [P0}
PO1 Definir un Plan Estratgico
para TI
PO2 Definir la Arquitectura de la
Informacin
PO3 Determinar la Direccin
Tecnolgica
PO4 Definir los Procesos, su
Organizacin y Relaciones
PO5 Administrar la Inversin en
TI
PO6 Comunicar los Objetivos y
la Direccin Gerenciales
PO7 Manejar los Recursos
Humanos
PO8 Administrar la Calidad
PO9 Detectar y Evaluar los
Riesgos de TI
PO10 Administrar Proyectos
Este dominio cubre las estrategias
y las tacticas para identificar la
forma en que la tecnologia de
informacion puede contribuir de la
mejor manera al logro de los
objetivos del negocio. Ademas la
realizacion de la vision estratgica
requiere ser planeada,
comunicada y administrada desde
diferentes perspectivas. Es
necesario establecer una
organizacion e infraestructura
tecnologica apropiadas.
26
l
Control sobre el proceso TI de
Definir un plan estratgico para TI
que satisface el requisito del negocio de TI para
Sostener o extender los requerimientos de gobierno y de la estrategia del
negocio, al mismo tiempo que se mantiene la transparencia sobre los
beneficios, costos y riesgos
enfocndose en
La incorporacin de TI y de la gerencia del negocio en la traduccin de los
requerimientos del negocio a ofertas de servicio, y el desarrollo de
estrategias para otorgar estos servicios de una forma transparente y
rentable
se logra con
PO1.1 Administracin del valor de TI
PO1.2 Alineacin de TI con el negocio
PO1.3 Evaluacin del desempeo actual
PO1.4 IT Plan estratgico de TI
PO1.5 IT Planes tcticos de TI
PO1.6 IT Administracin del portafolio de TI
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P=Primario
PO1 Definir un plan estratgico de TI
S=Secundario
|mportanc|a de| Proceso
P S
!
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
PO2 Definir la arquitectura de la informacin
Definir la arquitectura de la informacin
que satisface el requisito de negocio de TI para
agilizar la respuesta a los requerimientos, proporcionar informacin confiable y
consistente, para integrar de forma transparente las aplicaciones dentro de los
procesos del negocio
enfocndose en
El establecimiento de un modelo de datos empresarial que incluya un esquema
de clasificacin de informacin que garantice la integridad y consistencia de todos los datos
se logra con:
PO2.1 Modelo de arquitectura de informacin empresarial
PO2.2 Diccionario de datos empresarial y reglas de sintaxis de datos
PO 2.3 Esquema de clasificacin de datos
PO2.4 IT Administracin de la integridad
Cob|erno
de T|
Adm|n|strac|n
de Recursos
S P S P
P=Primario S=Secundario
27
!
Determinar la direccin tecnolgica
Contar con sistemas aplicativos estndar, bien integrados, rentables y estables, as
como recursos y capacidades que satisfagan requerimientos de negocio actuales y
futuros
enfocndose en
La definicin e implantacin de un plan de infraestructura tecnolgica, una
arquitectura y estndares que tomen en cuenta y aprovechen las oportunidades
tecnolgicas
se logra con
PO3.1 Planeacin de la direccin tecnolgica
PO3.2 Plan de infraestructura tecnolgica
PO3.3 Monitoreo de tendencias y regulaciones futuras
PO3.4 Estndares tecnolgicos
PO3.5 Consejo de arquitectura
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
PO3 Determinar la Direccin Tecnolgica
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P
J
Definir los procesos, organizacin y relaciones de TI
agilizar la respuesta a las estrategias del negocio mientras al mismo
tiempo cumple con los requerimientos de gobierno y se establecen puntos de
contacto definidos y competentes
enfocndose en
el establecimiento de estructuras organizacionales de TI transparentes,
flexibles y responsables, y en la definicin e implantacin de procesos de TI
con los propietarios, y en la integracin de roles y responsabilidades hacia
los procesos de negocio y de decisin
se logra con
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
PO4 Definir los procesos, organizacin y relaciones de TI
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P
PO4.1 Marco de trabajo del proceso
PO4.2 Comit estratgico
PO4.3 Comit directivo (Steering Committee)
PO4.4 Ubicacin organizacional de la funcin de TI
PO4.5 Estructura organizacional
PO4.6 Roles y responsabilidades
PO4.7 Responsabilidad de aseguramiento de calidad de TI
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
PO4.1 Marco de trabajo del proceso
PO4.2 Comit estratgico
PO4.3 Comit directivo (Steering Committee)
PO4.4 Ubicacin organizacional de la funcin de TI
PO4.5 Estructura organizacional
PO4.6 Roles y responsabilidades
PO4.7 Responsabilidad de aseguramiento de calidad de TI
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
PO4.9 Propiedad de datos y de sistemas
PO4.10 Supervisin
PO4.11 Segregacin de funciones
PO4.12 Personal de TI
PO4.13 Personal clave de TI
PO4.14 Polticas y procedimientos para personal contratado
PO4.15 Relaciones
28

Administrar la inversin en TI
mejorar de forma continua y demostrable la rentabilidad de TI y su
contribucin a la rentabilidad del negocio con servicios integrados y
estandarizados que satisfagan las expectativas del usuario
enfocndose en
decisiones de portafolio e inversin en TI efectivas y eficientes, y por medio
del establecimiento y seguimiento del presupuestos de TI de acuerdo a la
estrategia de TI y a las decisiones de inversin
se logra con
PO5.1 Marco de trabajo para la administracin financiera
PO5.2 Prioridades dentro del presupuesto de TI
PO5.3 Proceso presupuestal
PO5.4 IT Administracin de costos
PO5.5 Administracin de beneficios
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
PO5 Administrar la inversin en TI
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P=Primario
P P S
S=Secundario

Comunicar las aspiraciones y la direccin de la gerencia
Una informacin precisa y oportuna sobre los servicios de TI actuales y
futuros, los riesgos asociados y las responsabilidades
enfocndose en
Proporcionar polticas, procedimientos, directrices y otra documentacin
aprobada, de forma precisa y entendible y que se encuentre dentro del
marco de trabajo de control de Ti a los interesados
se logra con
PO6.1 Ambiente de polticas y de control
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI
PO6.3 Administracin de polticas para TI
PO6.4 Implantacin de polticas de TI
PO6.5 Comunicacin de los objetivos y la direccin de TI
PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos P=Primario S=Secundario
P S
29
i
Administrar los recursos humanos de TI
Personas competentes y motivadas para crear y entregar servicios de TI
enfocndose en
La contratacin y entrenamiento del personal, la motivacin por medio de
planes de carrera claros, la asignacin de roles que correspondan a las
habilidades, el establecimiento de procesos de revisin definidos, la creacin
de descripcin de puestos y el aseguramiento de la conciencia de la
dependencia sobre los individuos
se logra con
PO7.1 Reclutamiento y Retencin del Personal
PO7.2 Competencias del personal
PO7.3 Asignacin de roles
PO7.4 Entrenamiento del personal de TI
PO7.5 Dependencia sobre los individuos
PO7.6 Procedimientos de Investigacin del personal
PO7.7 Evaluacin del desempeo del empleado
PO7.8 Cambios y terminacin de trabajo
PO7 Administrar Recursos Humanos de TI
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P
\
Administrar la calidad Administrar la calidad
La mejora continua y medible de la calidad de los servicios prestados por TI
enfocndose en
La definicin de un sistema de administracin de calidad (QMS, por sus siglas
en ingls), el monitoreo continuo del desempeo contra los objetivos
predefinidos, y la implantacin de un programa de mejora continua de servicios
de TI
se logra con
P08.1 8|stema de adm|n|strac|n de ca||dad
P08.2 Estndares y prct|cas de ca||dad
P08.3 Estndares de desarro||o y de adqu|s|c|n
P08.4 |T Enfoque en e| c||ente
P08.5 Hejora cont|nua
P08. Hed|c|n, mon|toreo y rev|s|n de |a ca||dad
PO8 Administrar la Calidad
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S S
30
I
Evaluar y administrar los riesgos de TI
Analizar y comunicar los riesgos de TI y su impacto potencial sobre los
procesos y metas de negocio
enfocndose en
La elaboracin de un marco de trabajo de administracin de riesgos el cual
est integrado en los marcos gerenciales de riesgo operacional, evaluacin
de riesgos, mitigacin del riesgo y comunicacin de riesgos residuales
se logra con
P09.1 A||neac|n de |a adm|n|strac|n de r|esgos de T| y de| negoc|o
P09.2 Estab|ec|m|ento de| contexto de| r|esgo
P09.3 |dent|f|cac|n de eventos
P09.4 |T Eva|uac|n de r|esgos
P09.5 Respuesta a |os r|esgos
P09. Hanten|m|ento y mon|toreo de un p|an de acc|n de r|esgos
PO9 Evaluar y Administrar los Riesgos de TI
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
S S P P P S S
I
Administrar Proyectos
la entrega de resultados de proyectos dentro de marcos de tiempo,
presupuesto y calidad acordados
enfocndose en
un programa y un enfoque de administracin de proyectos definidos, el cual
se aplica a todos los proyectos de TI, lo cual facilita la participacin de los
interesados y el monitoreo de los riesgos y los avances de los proyectos
se logra con
PO10 Administrar proyectos
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P
P010.1 Harco de trabajo para |a adm|n|strac|n de programas
P010.2 Harco de trabajo para |a adm|n|strac|n de proyectos
P010.3 Enfoque de adm|n|strac|n de proyectos
P010.4 6omprom|so de |os |nteresados
P010.5 Estatuto de a|cance de| proyecto
P010. |n|c|o de |as fases de| proyecto
P010.7 P|an |ntegrado de| proyecto
P010.8 Recursos de| proyecto
P010.9 Adm|n|strac|n de r|esgos de| proyecto
P010.10 P|an de ca||dad de| proyecto
P010.11 6ontro| de camb|os de| proyecto
P010.12 P|aneac|n de| proyecto y mtodos de aseguram|ento
P010.13 Hed|c|n de| desempeo, reportes y mon|toreo de| proyecto
P010.14 6|erre de| proyecto
31
l
0om|n|o Adqu|r|r e |mp|ementar [A|}
Los nuevos proyectos generan so|uc|ones que sat|sfagan |as
Los nuevos proyectos son entregados a t|empo y dentro de|
presupuesto?
Trabajarn adecuadamente |os nuevos s|stemas una vez sean
|mp|ementados?
Los camb|os afectarn |as operac|ones actua|es de| negoc|o?
Los nuevos proyectos generan so|uc|ones que sat|sfagan |as
Los nuevos proyectos son entregados a t|empo y dentro de|
presupuesto?
Trabajarn adecuadamente |os nuevos s|stemas una vez sean
|mp|ementados?
Los camb|os afectarn |as operac|ones actua|es de| negoc|o?
de(erc|a:
!
00H|N|0: A00U|R|R E |HPLANTAR 80LU6|0NE8 [A|} 00H|N|0: A00U|R|R E |HPLANTAR 80LU6|0NE8 [A|}
AI1 Identificar Soluciones
Automatizadas
AI2 Adquirir y Mantener Software
de Aplicaciones
AI3 Adquirir y Mantener la
Infraestructura Tecnolgica
AI4 Facilitar la Operacin y Uso
AI5 Procurar los Recursos de Ti
AI6 Gerenciar los Cambios
AI7 Instalar y Acreditar las
Soluciones y los Cambios
Para ||evar a cabo |a estrateg|a
de T|, |as so|uc|ones de T| deben
|dent|f|carse, desarro||arse o
adqu|r|rse, |mp|ementndose e
|ntegrndose en e| proceso de|
negoc|o. Este dom|n|o cubre
tamb|n |os camb|os y
manten|m|ento de s|stemas
ex|stentes, para garant|zar que
|as so|uc|ones s|gan
sat|sfac|endo |os objet|vos de
negoc|o.
32
!
Identificar soluciones automatizadas
traducir los requerimientos funcionales y de control a un diseo efectivo y
eficiente de soluciones automatizadas
enfocndose en
la identificacin de soluciones tcnicamente factibles y rentables
se logra con
AI1 Identificar soluciones automatizadas
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P S
AI1.1 Definicin y mantenimiento de los requerimientos tcnicos
y funcionales del negocio.
AI1.2 Reporte de anlisis de riesgos
AI1.3 Estudio de factibilidad y formulacin de cursos de accin alternativos
AI1.4 Requerimientos, decisin de factibilidad y aprobacin.
AI1.1 Definicin y mantenimiento de los requerimientos tcnicos
y funcionales del negocio.
AI1.2 Reporte de anlisis de riesgos
AI1.3 Estudio de factibilidad y formulacin de cursos de accin alternativos
AI1.4 Requerimientos, decisin de factibilidad y aprobacin.
J
Adquirir y dar mantenimiento a software aplicativo
construir las aplicaciones de acuerdo con los requerimientos del negocio y
hacindolas a tiempo y a un costo razonable
enfocndose en
garantizar que exista un proceso de desarrollo oportuno y confiable
se logra con
AI2 Adquirir y mantener software aplicativo
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S S
AI2.1 Diseo de alto nivel
AI2.2 Diseo detallado
AI2.3 Control y auditabilidad de las aplicaciones
AI2.4 Seguridad y disponibilidad de las aplicaciones.
AI2.5 Configuracin e implantacin de software aplicativo adquirido
AI2.6 Actualizaciones importantes en sistemas existentes
AI2.7 Desarrollo de software aplicativo
AI2.8 Aseguramiento de la Calidad del Software
AI2.9 Administracin de los requerimientos de aplicaciones
AI2.10 Mantenimiento de software aplicativo
AI2.1 Diseo de alto nivel
AI2.2 Diseo detallado
AI2.3 Control y auditabilidad de las aplicaciones
AI2.4 Seguridad y disponibilidad de las aplicaciones.
AI2.5 Configuracin e implantacin de software aplicativo adquirido
AI2.6 Actualizaciones importantes en sistemas existentes
AI2.7 Desarrollo de software aplicativo
AI2.8 Aseguramiento de la Calidad del Software
AI2.9 Administracin de los requerimientos de aplicaciones
AI2.10 Mantenimiento de software aplicativo
33

Adquirir y dar mantenimiento a la infraestructura tecnolgica
Adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI
enfocndose en
Proporcionar plataformas adecuadas para las aplicaciones del negocio, de
acuerdo con la arquitectura definida de TI y los estndares de tecnologa
se logra con
AI3.1 Plan de adquisicin de infraestructura tecnolgica
AI3.2 Proteccin y disponibilidad del recurso de infraestructura
AI3.3 Mantenimiento de la Infraestructura
AI3.4 Ambiente de prueba de factibilidad
AI3 Adquirir y Mantener Infraestructura Tecnolgica
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
S P S S

Facilitar la operacin y el uso
Garantizar la satisfaccin de los usuarios finales mediante ofrecimientos de
servicios y niveles de servicio, y de forma transparente integrar las soluciones
de aplicacin y tecnologa dentro de los procesos del negocio.
enfocndose en
Proporcionar manuales efectivos de usuario y de operacin y materiales de
entrenamiento para transferir el conocimiento necesario para la operacin y el
uso exitosos del sistema.
se logra con
AI4.1 Plan para soluciones de operacin
AI4.2 Transferencia de conocimiento a la gerencia del negocio
AI4.3 Transferencia de conocimiento a usuarios finales
AI4.4 Transferencia de conocimiento al personal de operaciones y
soportte soporte
AI4 Facilitar la Operacin y el Uso
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S S S S
34
i
Adquirir recursos de TI
Mejorar la rentabilidad de TI y su contribucin a la utilidad del negocio.
enfocndose en
Adquirir y mantener las habilidades de TI que respondan a la estrategia de
entrega, en una infraestructura TI integrada y estandarizada, y reducir el
riesgo de adquisicin de TI
se logra con
AI5.1 Control de adquisicin
AI5.2 Administracin de contratos con proveedores
AI5.3 Seleccin de proveedores
AI5.4 Adquisicin de software
AI5.5 Adquisicin de recursos de TI
AI5 Adquirir Recursos de TI
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
S P S
\
Administrar cambios
Responder a los requerimientos del negocio de acuerdo con la estrategia de
negocio, mientras se reducen los defectos y la repeticin de trabajos en la
prestacin del servicio y en la solucin.
enfocndose en
Controlar la evaluacin de impacto, autorizacin e implantacin de todos los
cambios a la infraestructura de TI, aplicaciones y soluciones tcnicas,
minimizando errores que se deben a especificaciones incompletas de la
solicitud y detener la implantacin de cambios no autorizados
se logra con
AI6.1 Estndares y procedimientos para cambios
AI6.2 Evaluacin de impacto, priorizacin y autorizacin
AI6.3 Cambios de emergencia
AI6.4 Seguimiento y reporte del estatus de cambio
AI6.5 Cierre y documentacin del cambio
AI6 Administrar Cambios
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P P P S
35
I
Instalar y acreditar soluciones y cambios
contar con sistemas nuevos o modificados que trabajen sin problemas
importantes despus de la instalacin
enfocndose en
probar que las soluciones de aplicaciones e infraestructura son apropiadas
para el propsito deseado y estn libre de errores, y planear las liberaciones
a produccin
se logra con
AI7 Instalar y acreditar soluciones y cambios
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P S S S
AI7.1 Entrenamiento
AI7.2 Plan de prueba
AI7.3 Plan de implantacin
AI7.4 Ambiente de prueba
AI7.5 Conversin de sistema y datos
AI7.6 Prueba de cambios
AI7.1 Entrenamiento
AI7.2 Plan de prueba
AI7.3 Plan de implantacin
AI7.4 Ambiente de prueba
AI7.5 Conversin de sistema y datos
AI7.6 Prueba de cambios
AI7.7 Prueba final de aceptacin
AI7.8 Promocin a produccin
AI7.9 Revisin posterior a la implantacin
AI7.7 Prueba final de aceptacin
AI7.8 Promocin a produccin
AI7.9 Revisin posterior a la implantacin
iI
0om|n|o Entregar y dar 8oporte [08}
8e estn entregando |os serv|c|os de T| de acuerdo con |as
pr|or|dades de| negoc|o?
Estn opt|m|zados |os costos de T|?
Es capaz |a fuerza de trabajo de ut|||zar |os s|stemas de T| de
manera product|va y segura?
Estn |mp|antadas de forma adecuada |a conf|denc|a||dad, |a
|ntegr|dad y |a d|spon|b|||dad?
8e estn entregando |os serv|c|os de T| de acuerdo con |as
pr|or|dades de| negoc|o?
Estn opt|m|zados |os costos de T|?
Es capaz |a fuerza de trabajo de ut|||zar |os s|stemas de T| de
manera product|va y segura?
Estn |mp|antadas de forma adecuada |a conf|denc|a||dad, |a
|ntegr|dad y |a d|spon|b|||dad?
de(erc|a:
36
il
00H|N|0: ENTRECAR Y 80P0RTAR [08))
DS1 Administrar los Niveles de Servicio
DS2 Gerenciar Servicios de Terceras
Partes
DS3 Administrar el Rendimiento
(Performance) y la Capacidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a Usuarios
DS8 Administrar la Mesa de Ayuda y los
Incidentes
DS9 Gerenciar la Configuracin
DS10 Administrar Problemas
DS11 Administrar los Datos
DS12 Administrar las Instalaciones Fsicas
DS13 Administrar las Operaciones
Este dominio trata de la entrega o
prestacion de los servicios
requeridos --lo que incluye la
prestacion del servicio, la
administracion de la seguridad y
de la continuidad, el soporte del
servicio a los usuarios, la
administracion de los datos y de
las instalaciones operacionales.
i!
Definir y manejar niveles de servicio
Asegurar la alineacin de los servicios claves de TI con la estrategia del
negocio
enfocndose en
la identificacin de requerimientos de servicio, el acuerdo de niveles de
servicio y el monitoreo del cumplimiento de los niveles de servicio
se logra con
DS1 Definir y administrar los niveles de servicio
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S S S S S
DS1.1 Marco de trabajo de la administracin de los niveles de servicio
DS1.2 Definicin de servicios
DS1.3 Acuerdos de niveles de servicio
DS1.4 Acuerdos de niveles de operacin
DS1.5 Monitoreo y reporte del cumplimento de los niveles de servicio
DS1.6 Revisin de los acuerdos de niveles de servicio y de los contratos
DS1.1 Marco de trabajo de la administracin de los niveles de servicio
DS1.3 Acuerdos de niveles de servicio
DS1.4 Acuerdos de niveles de operacin
DS1.5 Monitoreo y reporte del cumplimento de los niveles de servicio
DS1.6 Revisin de los acuerdos de niveles de servicio y de los contratos
37
i!
Administrar servicios de terceros Administrar servicios de terceros
Brindar servicios satisfactorios de terceros con transparencia acerca de los
beneficios, riesgos y costos
enfocndose en
El establecimiento de relaciones y responsabilidades bilaterales con
proveedores calificados de servicios tercerizados y el monitoreo de la
prestacin del servicio para verificar y asegurar la adherencia a los
convenios.
se logra con
DS2.1 Identificacin de las relaciones con todos los proveedores
DS2.2 Administracin de las relaciones con los proveedores
DS2.3 Administracin de riesgos del proveedor
DS2.4 Monitoreo del desempeo del proveedor
DS2 Administrar los Servicios de Terceros
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S S S S S
iJ
Administrar el desempeo y la capacidad
Optimizar el desempeo de la infraestructura, los recursos y las capacidades
de TI en respuesta a las necesidades del negocio.
enfocndose en
Cumplir con los requerimientos de tiempo de respuesta de los acuerdos de
niveles de servicio, minimizando el tiempo sin servicio y haciendo mejoras
continuas de desempeo y capacidad de TI a travs del monitoreo y la
medicin.
se logra con
DS3.1 Planeacin del desempeo y la capacidad
DS3.2 Capacidad y desempeo actual
DS3.3 Capacidad y desempeo futuros
DS3.4 Disponibilidad de recursos de TI
DS3.5 Monitoreo y reporte
DS3 Administrar el Desempeo y la Capacidad
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S
38
i
Garantizar la continuidad del servicio
Asegurar el mnimo impacto al negocio en caso de una interrupcin de
servicios de TI.
enfocndose en
El desarrollo de resistencia (resilience) en las soluciones automatizadas y
desarrollando, manteniendo y probando los planes de continuidad de TI.
se logra
DS4 Garantizar la Continuidad del Servicio
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
P S P
084.1 |T Harco de trabajo de cont|nu|dad
084.2 P|anes de cont|nu|dad de T|
084.3 Recursos cr|t|cos de T|
084.4 Hanten|m|ento de| p|an de cont|nu|dad de T|
084.5 Pruebas de| p|an de cont|nu|dad de T|
084. Entrenam|ento de| p|an de cont|nu|dad de T|
084.7 0|str|buc|n de| p|an de cont|nu|dad de T|
084.8 Recuperac|n y reanudac|n de |os serv|c|os de T|
084.9 A|macenam|ento de respa|dos fuera de |as |nsta|ac|ones
084.10 Rev|s|n post-reanudac|n
084. Entrenam|ento de| p|an de cont|nu|dad de T|
084.7 0|str|buc|n de| p|an de cont|nu|dad de T|
084.8 Recuperac|n y reanudac|n de |os serv|c|os de T|
084.9 A|macenam|ento de respa|dos fuera de |as |nsta|ac|ones
084.10 Rev|s|n post-reanudac|n
i
Garantizar la seguridad de los sistemas
Marlere( |a |rled(|dad de |a |rlo(rac|r v de |a |rl(aesl(uclu(a de
p(ocesar|erlo v r|r|r|za( e|
|rpaclo de |as vu|re(ao|||dades e |rc|derles de sedu(|dad.
enfocndose en
La definicin de polticas, procedimientos y estndares de seguridad de TI y
en el monitoreo, deteccin, reporte y resolucin de las vulnerabilidades e
incidentes de seguridad.
se logra con
DS5 Garantizar la Seguridad de los Sistemas
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
P P S S S
085.1 Adm|n|strac|n de |a segur|dad de T|
085.2 P|an de segur|dad de T|
085.3 Adm|n|strac|n de |dent|dad
085.4 Adm|n|strac|n de cuentas de| usuar|o
085.5 Pruebas, v|g||anc|a y mon|toreo de |a
segur|dad
085. 0ef|n|c|n de |nc|dente de segur|dad
085.7 Protecc|n de |a tecno|og|a de segur|dad
085.8 Adm|n|strac|n de ||aves cr|ptogrf|cas
085.9 Prevenc|n, detecc|n y correcc|n
ma||c|oso
085.10 8egur|dad de |a red
085.11 |ntercamb|o de datos sens|t|vos
Cob|erno
de T|
Adm|n|strac|n
de Recursos
39
ii
Identificar y asignar costos
transparentar y entender los costos de TI y mejorar la rentabilidad a travs del
uso bien informado de los servicios de TI
enfocndose en
el registro completo y preciso de los costos de TI, un sistema equitativo para
asignacin acordado con los usuarios de negocio, y un sistema para reportar
oportunamente el uso de TI y los costos asignados.
se logra con
DS6 Identificar y asignar costos
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P
DS6.2 Contabilizacin de TI
DS6.3 Modelacin de costos y cargos
DS6.4 Mantenimiento del modelo de costos
DS6.2 Contabilizacin de TI
DS6.3 Modelacin de costos y cargos
DS6.4 Mantenimiento del modelo de costos
i\
Educar y entrenar a los usuarios
el uso efectivo y eficiente de soluciones y aplicaciones tecnolgicas y el
cumplimiento del usuario con las polticas y procedimientos
enfocndose en
un claro entendimiento de las necesidades de entrenamiento de los usuarios
de TI, la ejecucin de una efectiva estrategia de entrenamiento y la medicin
de resultados.
se logra con
DS7 Educar y entrenar a los usuarios
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P S
DS7.1 Identificacin de necesidades de entrenamiento y educacin
DS7.2 Imparticin de entrenamiento y educacin
DS7.3 Evaluacin del entrenamiento recibido
DS7.1 Identificacin de necesidades de entrenamiento y educacin
DS7.2 Imparticin de entrenamiento y educacin
DS7.3 Evaluacin del entrenamiento recibido
40
iI
Administrar la mesa de servicio y los incidentes
Permitir el efectivo uso de los sistemas de TI garantizando la resolucin y
el anlisis de las consultas de los usuarios finales, incidentes y preguntas.
enfocndose en
una funcin profesional de mesa de servicio, con tiempo de respuesta
rpido, procedimientos de escalamiento claros y anlisis de tendencias y
de resolucin.
se logra con
DS8.1 Mesa de Servicios
DS8.2 Registro de consultas de clientes
DS8.3 Escalamiento de incidentes
DS8.4 Cierre de incidentes
DS8.5 Anlisis de tendencias
DS8 Administrar la Mesa de Servicio y los Incidentes
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P=Primario; S=Secundario
P P
\I
Administrar la configuracin
que satisface el requisito de negocio de TI para optimizar la infraestructura, recursos y
capacidades de TI, y llevar registro de los activos de TI.
enfocndose en
establecer y mantener un repositorio completo y preciso de atributos de la
configuracin de los activos y de lneas base y compararlos contra la
configuracin actual.
se logra con
DS9 Administrar la Configuracin
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P S S S
DS9.1 Repositorio de configuracin y lnea base
DS9.2 Identificacin y mantenimiento de elementos de configuracin
DS9.3 Revisin de integridad de la configuracin
DS9.1 Repositorio de configuracin y lnea base
DS9.2 Identificacin y mantenimiento de elementos de configuracin
DS9.3 Revisin de integridad de la configuracin
41
\l
Administracin de problemas
garantizar la satisfaccin de los usuarios finales con ofrecimientos de
servicios y niveles de servicio, reducir el trabajo y los defectos en la
prestacin de los servicios y de las soluciones.
enfocndose en
registrar, rastrear y resolver problemas operativos; investigacin de las
causas raz de todos los problemas relevantes y definir soluciones para los
problemas operativos identificados.
se logra
DS10 Administrar los Problemas
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S
DS10.1 Identificacin y clasificacin de problemas
DS10.2 Rastreo y resolucin de problemas
DS10.3 Cierre de problemas
DS10.4 Integracin de las administraciones de cambios, configuracin y problemas
DS10.1 Identificacin y clasificacin de problemas
DS10.2 Rastreo y resolucin de problemas
DS10.3 Cierre de problemas
DS10.4 Integracin de las administraciones de cambios, configuracin y problemas
\!
Administracin de datos
Que satisface el requisito de negocio de TI para
Optimizar el uso de la informacin y garantizar la disponibilidad de la
informacin cuando se requiera.
enfocndose en
mantener la integridad, exactitud, disponibilidad y proteccin de los datos.
se logra
DS11 Administrar los Datos
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P
DS11.1 Requerimientos del negocio para administracin de datos
DS11.2 Acuerdos de almacenamiento y conservacin
DS11.3 Sistema de administracin de libreras de medios
DS11.4 Eliminacin
DS11.5 Respaldo y restauracin
DS11.6 Requerimientos de seguridad para la administracin de datos
DS11.1 Requerimientos del negocio para administracin de datos
DS11.2 Acuerdos de almacenamiento y conservacin
DS11.3 Sistema de administracin de libreras de medios
DS11.4 Eliminacin
DS11.5 Respaldo y restauracin
DS11.6 Requerimientos de seguridad para la administracin de datos
42
\!
Administracin del ambiente fsico
proteger los activos de cmputo y la informacin del negocio minimizando el
riesgo de una interrupcin del servicio.
enfocndose en
proporcionar y mantener un ambiente fsico adecuado para proteger los
activos de TI contra acceso, dao o robo.
se logra
DS12 Administrar el Ambiente Fsico
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P
DS12.1 Seleccin y diseo del centro de datos
DS12.2 Medidas de seguridad fsica
DS12.3 Acceso Fsico
DS12.4 Proteccin contra factores ambientales
DS12.5 Administracin de instalaciones fsicas
DS12.1 Seleccin y diseo del centro de datos
DS12.2 Medidas de seguridad fsica
DS12.3 Acceso Fsico
DS12.4 Proteccin contra factores ambientales
DS12.5 Administracin de instalaciones fsicas
\J
Administrar operaciones
mantener la integridad de los datos y garantizar que la infraestructura de TI
puede resistir y recuperase de errores y fallas.
enfocndose en
cumplir con los niveles operativos de servicio para procesamiento de datos
programado, proteccin de datos de salida sensitivos y monitoreo y
mantenimiento de la infraestructura.
se logra con:
DS13 Administrar las operaciones
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S S
DS13.1 Procedimientos e instrucciones de operacin
DS13.2 Programacin de tareas
DS13.3 Monitoreo de la infraestructura de TI
DS13.4 Documentos sensitivos y dispositivos de salida.
DS13.5 Mantenimiento preventivo del hardware
DS13.1 Procedimientos e instrucciones de operacin
DS13.2 Programacin de tareas
DS13.3 Monitoreo de la infraestructura de TI
DS13.4 Documentos sensitivos y dispositivos de salida.
DS13.5 Mantenimiento preventivo del hardware
43
\
0om|n|o Hon|torear y Eva|uar [HE}
8e m|de e| desempeo de T| para detectar |os prob|emas antes de
que sea demas|ado tarde?
La Cerenc|a garant|za que |os contro|es |nternos son efect|vos y
ef|c|entes?
Puede v|ncu|arse e| desempeo de |o que T| ha rea||zado con |as
metas de| negoc|o?
8e m|den y reportan |os r|esgos, e| contro|, e| cump||m|ento y e|
desempeo?
8e m|de e| desempeo de T| para detectar |os prob|emas antes de
que sea demas|ado tarde?
La Cerenc|a garant|za que |os contro|es |nternos son efect|vos y
ef|c|entes?
Puede v|ncu|arse e| desempeo de |o que T| ha rea||zado con |as
metas de| negoc|o?
8e m|den y reportan |os r|esgos, e| contro|, e| cump||m|ento y e|
desempeo?
de(erc|a:
\
Monitorear y evaluar el desempeo de TI
Transparencia y entendimiento de los costos, beneficios, estrategia,
polticas y niveles de servicio de TI de acuerdo con los requisitos de
gobierno
enfocndose en
Monitorear y reportar las mtricas del proceso e identificar e implantar
acciones de mejoramiento del desempeo
se logra con
ME1.1 Enfoque del Monitoreo
ME1.2 Definicin y recoleccin de datos de monitoreo
ME1.3 Mtodo de monitoreo
ME1.4 Evaluacin del desempeo
ME1.5 Reportes al consejo directivo y a ejecutivos
ME1.6 Acciones correctivas
ME1 Monitorear y Evaluar el Desempeo de TI
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S S S S S
44
\i
Monitorear y evaluar el control interno Monitorear y evaluar el control interno
Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos
relacionados con TI
enfocndose en
El monitoreo de los procesos de control interno para las actividades
relacionadas con TI e identificar las acciones de mejoramiento
se logra con
ME2.1 Monitorear el marco de trabajo de control interno
ME2.2 Revisiones de Auditora
ME2.3 Excepciones de control
ME2.4 Auto-evaluacin de control
ME2.5 Aseguramiento del control interno
ME2.6 Control interno para terceros
ME2.7 Acciones correctivas
ME2 Monitorear y Evaluar el Control Interno
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S S S S S
\\
Garantizar el cumplimiento regulatorio
Cumplir las leyes y regulaciones
enfocndose en
la identificacin de todas las leyes y regulaciones aplicables y el nivel
correspondiente de cumplimiento de TI y la optimizacin de los procesos de
TI para reducir el riesgo de no cumplimiento
se logra con
ME3 Garantizar el cumplimiento regulatorio
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P S
ME3.1 Identificar las leyes y regulaciones con impacto potencial sobre TI
ME3.2 Optimizar la respuesta a requerimientos regulatorios
ME3.3 Evaluacin del cumplimiento con requerimientos regulatorios
ME3.4 Aseguramiento positivo del cumplimiento
ME3.5 Reportes integrados.
ME3.1 Identificar las leyes y regulaciones con impacto potencial sobre TI
ME3.2 Optimizar la respuesta a requerimientos regulatorios
ME3.3 Evaluacin del cumplimiento con requerimientos regulatorios
ME3.4 Aseguramiento positivo del cumplimiento
ME3.5 Reportes integrados.
45
\I
Proporcionar gobierno de TI
La integracin de un gobierno de TI con objetivos de gobierno corporativo y
el cumplimiento con las leyes y regulaciones
enfocndose en
La elaboracin de informes para el consejo directivo sobre la estrategia, el
desempeo y los riesgos de TI y responder a los requerimientos de gobierno
de acuerdo a las directrices del consejo directivo
se logra con
ME4 Proporcionar gobierno de TI
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P S S S S S
ME4.1 Establecer un marco de trabajo de gobierno para TI
ME4.2 Alineamiento estratgico
ME4.3 Entrega de valor
ME4.4 Administracin de recursos
ME4.5 Administracin de riesgos.
ME4.6 Medicin del desempeo.
ME4.7 Aseguramiento independiente.
ME4.1 Establecer un marco de trabajo de gobierno para TI
ME4.2 Alineamiento estratgico
ME4.3 Entrega de valor
ME4.4 Administracin de recursos
ME4.5 Administracin de riesgos.
ME4.6 Medicin del desempeo.
ME4.7 Aseguramiento independiente.
II
Corc|us|ores Corc|us|ores
46
Il
C0NCLu3l0NE3 C0NCLu3l0NE3
CobiT est siendo actualizado y armonizado
continuamente con otros estndares. Por
eso se ha convertido en el integrador de las
mejores prcticas de TI en el marco de
trabajo (framework) de Gobierno de TI que
ayuda a entender y a gestionar los riesgos y
los beneficios asociados a TI.
CobiT est siendo actualizado y armonizado
continuamente con otros estndares. Por
eso se ha convertido en el integrador de las
mejores prcticas de TI en el marco de
trabajo (framework) de Gobierno de TI que
ayuda a entender y a gestionar los riesgos y
los beneficios asociados a TI.

COBIT

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

COBIT

Hochgeladen von

Copyright:

Verfügbare Formate

1

|0ENT|F|6AR L08 FUN0AHENT08 0E LA AU0|T0R|A

Control sobre el proceso TI de

Control sobre el proceso TI de

Control sobre el proceso TI de

Control sobre el proceso TI de

Das könnte Ihnen auch gefallen