Cuestionario para aplicar a controles de Planear y Organizar

PO1-definir un plan estratégico de  ¿Cuál es la posición estratégica actual

TI de la empresa?

 ¿Qué elementos críticos se detectan?

 ¿Las estrategias de tecnologías de

información están alineadas con las
del negocio?

 ¿De qué manera se están

administrando los riesgos de las TI?

PO2-Definir la arquitectura de la  ¿Todos los procesos de la empresa

información están sistematizados?

 ¿Son los riesgos de TI entendidos y

están siendo administrados?

 ¿Es la calidad del sistema de TI

apropiada para las necesidades de la
entidad?

 ¿Las personas en la organización

entienden los objetivos de TI?

PO5-administrar la inversión en TI  ¿Los gatos para mantener la

infraestructura existente fueron según
el presupuesto de la dependencia?

 ¿En promedio cuantos proyectos

nuevos basados en TI fueron
implementados en el último año?

 ¿En promedio cuantos servicios

basados en TI son costeados por la
organización?
PO6-Comunicar las aspiraciones y  ¿Cuál es la política de seguridad y
la Dirección de la Gerencia control interno?

 ¿Con que frecuencia se actualiza y

mejora la documentación del
ambiente de control?

 ¿Qué filosofía de calidad se aplica en la

organización?

PO7-Administrar los Recursos  ¿Tienen Políticas de reclutamiento y

Humanos de TI promoción del personal?

 ¿Tienen Programa de capacitación de

acuerdo a los requerimientos de
cargo?

 ¿Procedimiento para la
eliminación/suspensión inmediata de
las passwords de acceso a los
ambientes computacionales, sistemas
y datos, de cada persona despedida o
trasladada a otro cargo?

PO8-Administrar la Calidad  ¿Cuál es la política de seguridad y

control interno?

 ¿Con que frecuencia se actualiza y

mejora la documentación del
ambiente de control?

 ¿Qué filosofía de calidad se aplica en la

organización?

PO9-Evaluar y Administrar los  ¿Qué estándares y criterios utilizan

Riesgos de TI dentro de la empresa para la
identificación y evaluación de los
riesgos?
  ¿Se tienen modelos preestablecidos
para realizar la documentación de los
riesgos? ¿Cuáles?

 ¿Se documentan los procedimientos

empleados?

 ¿Poseen plan de capacitaciones?

PO10-Administrar Proyectos  ¿En qué medida la organización ha

integrado formalmente los proyectos
en el trabajo?

 ¿Se realizan los proyectos a tiempo y

dentro del presupuesto?

 ¿Existe una definición clara y

documentada del alcance de cada
proyecto?

Descripción del Proceso

PO8 Administrar la Calidad

Pregunta SI NO
¿Existen estándares o guías para el diseño y desarrollo de
aplicaciones?

¿Los formularios de la información fuente están diseñados

eficientemente para evitar interpretación y/o trascripción errónea de los
datos?

¿Existen estándares o guías para el diseño y desarrollo de aplicaciones y

documentación técnica?

¿Los formularios de la información fuente están diseñados eficientemente para evitar

interpretación y/o trascripción errónea de los datos?

PO9 Evaluar y Administrar Los Riesgos de TI

Pregunta SI NO
 ¿Cuenta el Departamento de Sistemas con hardware interno o externo
similar o compatible para ser utilizado en caso de emergencias?

¿Cuenta con un marco de trabajo de administración de Riesgos?

¿Saben como medir el impacto el impacto potencial negativo sobre

las metas o las operaciones de la Empresa?

¿Cuentan con un proceso de respuesta a los riesgos para asegurar

los controles en costo?

¿Tienen bien definidas las prioridades y las planeaciones de las

actividades de control a todos los niveles para implementar una
respuesta a los riesgos?

PO10 Administrar Proyectos

Pregunta SI NO
¿Existe un programa de actividades a corto, mediano y largo plazo de
todas las funciones del Departamento de Sistemas?

¿Los Departamentos de origen, usuarios, auditoria y la gerencia,

participan en todas las etapas del desarrollo de las aplicaciones?

¿Los Departamentos de origen y/o usuario dueños de cada aplicación,

dan la aprobación final al funcionamiento de la nueva aplicación?

¿Existe la función de control de calidad para los Sistemas de

Información antes de entrar en operaciones?

¿Hay una participación activa de los usuarios en las pruebas de las

aplicaciones?

Adquirir e Implementar
AI1 Identificar Soluciones Automatizadas
Pregunta SI NO
¿Los técnicos cumplen con el alcance requerido para lograr los
resultados esperados?

¿Cuentan con un diseño de soluciones para el desarrollo de soluciones

de los procesos organizacionales?
 ¿Se ha desarrollado un estudio de factibilidad que examine
la posibilidad de implementar los requerimientos?

¿Manejan etapas claves para la evaluación de los reportes del estudio

de factibilidad?

¿Las decisiones finales e importantes están siendo evaluadas por

una sola persona?

¿El Departamento de Sistemas cuenta con una biblioteca de archivos

y programas?

¿Existen disposiciones de seguridad para recursos

informáticos instalados fuera de la organización?

¿Son los reportes de salidas que contienen información confidencial y

sensible, mantenida y manejada con la prudencia que corresponde?

¿Se cumple con las disposiciones gubernamentales para procesar

las operaciones en un sistema automatizado?

AI2 Adquirir y Mantener Software Aplicativo

Pregunta SI NO
¿Existe un control y análisis del desempeño del hardware para
proyectar y presupuestar a futuro cambios de equipo?

¿Cuenta el Departamento de Sistemas con hardware interno o externo

similar o compatible para ser utilizado en caso de emergencias?

¿Existen procedimiento para asegurar la implantación de software en el

servidor de producción?

¿Existen estándares o guías para el diseño y desarrollo de

aplicaciones?

¿El software operativo y aplicativo adquirido de proveedores externos

cuenta con sus respectivas licencias originales?

¿Existen disposiciones de seguridad para recursos informáticos

instalados fuera de la organización?
Cuestionario de Control C1
Dominio Adquirir e Implementar
Proceso AI3: Adquirir y Mantener Infraestructura Tecnológica
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con un inventario de todos los equipos que
integran el centro de cómputo?
¿Con cuanta frecuencia se revisa el inventario?
¿Se posee de bitácoras de fallas detectadas en los
equipos?
Características de la bitácora (señale las opciones).
 ¿La bitácora es llenada por personal especializado?
 ¿Señala fecha de detección de la falla?
 ¿Señala fecha de corrección de la falla y revisión de
que el equipo funcione correctamente?
 ¿Se poseen registros individuales de los equipos?
 ¿La bitácora hace referencia a hojas de servicio, en
donde se detalla la falla, y las causas que la
originaron, así como las refacciones utilizadas?

¿Se lleva un control de los equipos en garantía, para que a

la finalización de ésta, se integren a algún programa de
mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los
equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los
equipos?
¿Se cuenta con procedimientos definidos para la
adquisición de nuevos equipos?
¿Se tienen criterios de evaluación para determinar el
rendimiento de los equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados:

Cuestionario de Control C2
Dominio Adquirir e Implementar
Proceso AI3: Adquirir y Mantener Infraestructura Tecnológica
Cuestionario
Pregunta SI NO N/A
¿Existe un programa de mantenimiento preventivo para
cada dispositivo del sistema de cómputo?

¿Se lleva a cabo tal programa?

¿Existen tiempos de respuesta y de compostura
estipulados en los contratos?
¿Existe plan de mantenimiento preventivo. ?

¿Este plan es proporcionado por el proveedor?

¿Se han adoptado medidas de seguridad en el

departamento de sistemas de información?

¿Existe una persona responsable de la seguridad?

¿Existe vigilancia en el departamento de cómputo las 24

horas?
Documentos probatorios presentados:

Cuestionario de Control C3
Dominio Adquirir e Implementar
Proceso AI5: Adquirir Recursos de TI
Cuestionario
Pregunta SI NO N/A
¿Se realizan estudios de factibilidad, (costo- beneficio)
antes de iniciar el desarrollo o la compra de nuevas
aplicaciones?

¿Existe la función de control de calidad para los Sistemas

de Información antes de entrar en operaciones?

¿A la hora obtención de recursos de TI tienen asesoría

profesional legal y contractual?
¿Cuentan con procedimientos y estándares de
adquisición?

¿Al adquirir hardware, software y servicios requeridos son

de acuerdo con los procedimientos definidos?

¿Manejan un solo proveedor o hace cotización para reducir

gasto?

Documentos probatorios presentados:

Cuestionario de Control C2
Dominio Adquirir e Implementar
Proceso AI6: Administrar Cambios
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con procedimientos definidos para solicitar y
efectuar modificaciones a los programas?

¿Se le da conocimiento a la alta gerencia cuando se debe

hacer un cambio?

¿Existen procedimientos de administración de cambio

formales para manejar de manera estándar todas las
solicitudes?
¿Los Departamentos de origen y/o usuario dueños de cada
aplicación, dan la aprobación final al funcionamiento de la
nueva aplicación?

¿Los Departamentos de origen, usuarios, auditoria y la

gerencia, participan en todas las etapas del desarrollo de
las aplicaciones?
¿Se han adoptado medidas de seguridad en el
departamento de sistemas de información?

¿Existe un Seguimiento del estatus y reporte de los

cambios?

Documentos probatorios presentados:

Cuestionario de Control C2
Dominio Entregar y Dar soporte
Proceso DS1: Definir y Administrar los Niveles de Servicio
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con formalización de acuerdos internos y
externos en línea con los requerimientos y las capacidades
de entrega?

¿Se cuenta con notificación del cumplimiento de los niveles

de servicio (reportes y reuniones?
 ¿SE Revisar regularmente con los proveedores internos y
externos los acuerdos de niveles de servicio y los
contratos de apoyo?
¿Se tiene Definido un marco de trabajo que brinde un
proceso formal de administración de niveles de servicio
entre el cliente y el prestador de servicio?

Documentos probatorios presentados:

Cuestionario de Control C2
Dominio Entregar y Dar Soporte
Proceso DS4: Garantizar la Continuidad del Servicio
Cuestionario
Pregunta SI NO N/A
¿Existe un plan de contingencia para situaciones de
emergencias?

¿Cuenta el centro de Cómputo con archivos de respaldo

externos (back up) de programas y de datos ubicados
fuera de las instalaciones?

¿La institución efectúa contratos con entidades externas

para realizar actividades de administración, procesamiento
y resguardo de las operaciones d información, así como el
desarrollo de sus sistemas, servicios de consultaría,
patentes y otros servicios relacionados con las TIC?

¿Se cuenta con un plan estratégico de Sistemas

acorde con los objetivos de la empresa?

¿Está asegurado todo el activo de TI?

¿Cuentan con administración de tercerización?

Documentos probatorios presentados:

Entregar y Dar Soporte

DS6 Identificar y Asignar Costos
Pregunta SI NO
¿En base a que evalúa los costos de TI?
 ¿Cuenta con alguna metodología para priorizar o identificar los
costos de TI?

¿Con cuanta frecuencia inspecciona las requisiciones de TI

para compra de infraestructura?

¿Se tiene un riesgo de las compras de insumos que ingresan a TI?

DS7 Educar y Entrenar a los Usuarios

Pregunta SI NO
¿Con cuanta frecuencia capacita a los usuarios?

¿Existe un programa de entrenamiento de usuarios?

¿Tiene planes de mejoras continuas para los usuarios?

¿Existe alguna estrategia de entrenamiento y la medición de

resultados?

¿Se cuenta con manuales actualizados para la inducción a los

usuarios?

¿Existen cursos de formación internos?

DS8 Administrar la Mesa de Servicios y los Incidentes

Pregunta SI NO
¿En qué lapso de tiempo resuelve un incidente reportado por un
usuario?

¿Con cuanta frecuencia le reportan fallas en los servicios?

¿Con cuanta frecuencia le reportan fallas en las aplicaciones?

¿Con cuanta frecuencia le reportan fallas en la infraestructura?

¿Cuenta con un mecanismo para medir la velocidad promedio para

responder a las peticiones de los usuarios?

¿Con que frecuencia abandona las llamadas por incidencia de los

usuarios?

¿Cuenta con alguna herramienta para responder a consultas de los

usuarios?
 ¿Qué incidente es el mas frecuente que presentan los usuarios?

DS10 Administrar los Problemas

Problema Impacto Urgencia Prioridad

Aplicaciones
Instaladas
Infraestructura
Servicios
Equipo
(Hardware)

Pregunta SI NO
¿Existen técnicos asignados por área de cada problema?

¿Con cuanta frecuencia le da seguimiento a los problemas?

¿Investiga la causa de raíz de los problemas?

¿Define las soluciones a los problemas?

¿Aplica un plan de mejoras para mitigar los problemas?

¿En el desarrollo de los sistemas se contemplan las pistas de Auditoria
para la posterior auditoria de los mismos?

DS11 Administrar los Datos

Pregunta SI NO
¿Cuenta con una metodología para el archivado almacenamiento y
retención de datos?

¿Existen políticas de seguridad al recibido, procesamiento y

almacenamiento de datos?

¿Con cuanta frecuencia realiza los respaldos a las bases de datos?

¿Cuenta el centro de Cómputo con archivos de respaldo externos (back

up) de programas y de datos ubicados fuera de las instalaciones?

¿Con cuanta frecuencia realiza las réplicas de datos?

 ¿Existen dispositivos para la realización de copias de seguridad?

DS11 administrar los datos

Pregunta SI NO
¿Cómo verifican que todos los datos fueron procesados y ejecutados de
forma precisa y completamente?

¿Qué tipos de procedimientos utilizan para crear el archivo,

almacenamiento y retención de los datos y que tipo de política de
seguridad utilizan?

¿Qué librerías de medios utilizan para el manejo de los inventarios y

para asegurar la usabilidad de la información?

¿Qué procedimientos utilizan para eliminar la información y al cuánto

tiempo es eliminada?

¿Tipos de procedimientos utilizados para el manejo de respaldo y

restauración de los sistemas?

¿Qué políticas y procedimientos se utilizan para el manejo de la

información?

DS12 Administración del Ambiente Físico

Pregunta SI NO
¿Qué centro de datos físicos manejan y sus especificaciones?

¿Qué medidas de seguridad físicas utilizan y quienes monitorean los

incidentes de seguridad?

¿Qué controles de acceso manejan para llevar el control del ingreso a

las instalaciones?

¿Qué medidas de protección manejan contra los factores ambientales?

¿Quién es el encargado de administrar los equipos de comunicación,

requerimientos técnicos de la institución?
DS13 Administración de Operaciones

Pregunta SI NO
¿Qué tipos de procedimientos estandarizados, actualizaciones de
programas manejan?

¿Cómo hacen la programación de las tareas de procesos y las

secuencias de los procedimientos que deben implementarse?

¿Tipos de procedimientos para monitorear la infraestructura de TI?

¿Qué tipo de inventarios realizan para la administración de adecuada

sobre los activos de TI?

¿Cada cuánto dan mantenimiento oportuno a la infraestructura para

reducir las fallas en el desempeño?

ME1 Monitorear y Evaluar el Desempeño de TI

Pregunta SI NO
¿Cómo se hace el monitoreo general del desempeño de TI en cuanto a
soluciones de problemas y la contribución de TI a la institución?
¿Qué proceso utilizan para recolectar la información oportuna y precisa
para reportar el avance en las metas?
¿Qué tipos de métodos utilizan para monitorear el desempeño del
sistema de la institución?
¿Cómo evalúan el desempeño de las metas de la institución?

¿Quién proporciona los reportes a la alta gerencia mostrando los

resultados obtenidos en cuanto a las metas alcanzadas y los riesgos
mitigados?

¿Qué tipo de acciones correctivas manejan en cuanto al monitoreo del

desempeño?
ME4 Proporcionar Gobierno de TI

Pregunta SI NO
¿Qué tipo de objetivos empresariales manejan?
¿Qué características y capacidades tecnológicas manejan para
garantizar un entendimiento entre la institución y TI?
¿Se cumplen todos los resultados esperados por la institución con la
ayuda de TI?
¿Qué tipos de inversiones hacen para el mejoramiento de TI y quienes
administran estos recursos?
¿Qué tipos de riesgos son aceptables para la institución?

¿Quien confirma que los objetivos esperados por TI han sido

alcanzados?