Grupo Terico: 03 Grupo de trabajo: 01 COBIT Objetivos de Control para tecnologa de la informacin y relacionada
DOMINIO PRIMERO: PLANEAR Y ORGANIZAR. AUDITORIA DE SISTEMAS PLANEACION Y ORGANIZACION PO2 Definir la Arquitectura de Informacin. PO1 Definir un plan Estratgico . PO3 Determinar la Direccin tecnolgica PO4 Definir los procesos Organizacin y relaciones De TI PO5 Administrar los Recursos de TI PO6 Comunicar las Aspiraciones y la direccion De la gerencia Po7 Administrar los Recurso humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos www.themegallery.com Definicin: Es necesaria para Gestionar y dirigir todos los Recursos de TI en lnea Con la estrategia y Prioridades del negocio. Objetivos: 1. Administracin del valor de TI 2. Alineacin de TI con el negocio 3. Evaluacin del desempeo y la Capacidad actual. 4.Plan estratgico 5. Planes tcticos 6. Administracin del portafolio de TI
Planear y Organizar Auditoria de Sistemas PO1 DEFINIR UN PLAN ESTRATGICO DE TI PLAN ESTRATGICO DE TI www.themegallery.com MODELO DE MADUREZ Inicial Repetible
Definido Administrado Planear y Organizar Auditoria de Sistemas Cuando se conoce la necesidad de una Planeacion estratgica. Cuando ocurren respuestas a las solicitudes de la informacin. Cuando se sigue un enfoque que garantiza la facilidad de la planeacin Optimizado Se define con responsabilidades de alto nivel. Se toma en cuenta el establecimiento de las metas del negocio. www.themegallery.com PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACION.
Planear y Organizar Auditoria de Sistemas OBJETIVOS Modelo de arquitectura de informacin empresarial Diccionario de Datos empresarial y reglas de sintaxis de datos Esquema de clasificacin de datos Administracin de integridad www.themegallery.com MODELO DE MADUREZ Inicial Repetible
Definido Administrado Planear y Organizar Auditoria de Sistemas Cuando se reconoce la necesidad de una arquitectura de informacin. Cuando existen procedimientos similares que siguen los individuos. Se acepta la responsabilidad en la aplicacin en la cual se comunicara Optimizado Se otorga el soporte completo al desarrollo de implantacin por medio de tcnicas. El personal de TI tiene la experiencia y habilidades necesarias para desarrollar. PO3- Determinar la Direccin Tecnolgica. Creacin de un plan de infraestructura tecnolgica.
Comit de Arquitectura. Actualizar - Arquitectura de sistemas. - Direccin tecnolgica. - Planes de adquisicin. - Estndares. - Estrategias de migracin. - Contingencias. Establecer y administrar lo que la tecnologa puede ofrecer en trminos de productos, servicios y mecanismos de aplicacin. En la definicin e implementacin de un plan Direccin tecnolgica Enfoque de infraestructura tecnolgica, una arquitectura y estndares que tomen en cuenta y aprovechen las oportunidades tecnolgicas. Logra -Establecer un foro para dirigir la arquitectura y verificar el cumplimiento. -Establecer un plan de infraestructura tecnolgica. -Definir estndares de infraestructura tecnolgica Medid o El nmero y tipo de desviaciones con respecto al plan. Frecuencia de las revisiones y actualizaciones del plan. Nmero de plataformas de tecnologa
Objetivos de Control -Planeacin de la direccin tecnolgica. -Plan de infraestructura tecnolgica. -Monitoreo de tendencias y regulaciones futuras. -Estndares tecnolgicos. -Consejo de arquitectura de TI. No existe conciencia sobre la importancia de la planeacin de la infraestructura tecnolgica para la entidad. Inicia No existe Cuando la gerencia reconoce la necesidad de planear la infraestructura tecnolgica. Repetible Definido Administrad o Se difunde la necesidad e importancia de la planeacin tecnolgica. Cuando la gerencia est consciente de la importancia del plan de infraestructura tecnologa. La direccin garantiza el desarrollo del plan de infraestructura tecnolgica. Modelo de Madurez Optimiza do La direccin del plan de infraestructura esta impulsada en los estndares de avances industriales e internacionales. PO4 Agiliza la respuesta a las estrategias del negocio mientras se cumplan los requerimientos del gobierno. Enfocado El establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables y en la definicin e implementacin de procesos de TI. Se logra con la definicin de un marco de trabajo de procesos de TI. El establecimiento de un cuerpo y una estructura organizacional apropiada. La definicin de roles y responsabilidades Se mide con el porcentaje de roles con descripciones de puestos. El nmero de procesos de negocio que no reciben soporte de TI y que deberan de recibirlo. Nmero de actividades clave de TI que no son aprobadas. PO4- Definir los Procesos, Organizacin y relaciones TI. Objetivos de Control PO4 Marco de trabajo de proceso de TI. Comit estratgico de Ti. Comit directivo de TI. Ubicacin organizacional de la funcin de TI. Estructura organizacional. Establecimiento de roles y responsabilidades. Responsabilidades de aseguramiento de calidad de TI. Responsabilidad sobre el riesgo, la seguridad y el cumplimiento. Propiedad de datos y de sistemas. Supervisin. Segregacin de funciones. Personal de TI. Personal clave de TI. Polticas y procedimientos para personal contratado. Relaciones. DEFINICION SE LOGRA El pronostico de presupuestos Definicin de criterios formales Medicin del valor del negocio Sz SE MIDE Porcentaje de reduccin en el costo unitario Porcentaje de l valor Porcentaje de gasto Establece y mantiene un marco de trabajo Para administrar los programas de inversion en TI PO5. ADMINISTRAR LA INVERSION EN TI Marco de trabajo Para la administracion financiera Prioridades dentro del presupuesto de TI Proceso presupuestal Administracin de costos de TI Administracion de beneficios OBJETIVOS DE CONTROL Optimizado no existente Inicial Repetible Definido MODELO DE MADUREZ Administrado P06.COMUNICAR LAS ASPIRACIONES Y LA DIRECCION DE LA GERENCIA 1
SE MIDE Numero de interrup- ciones en el negocio Porcentaje de inte- resados Porcentaje de intere sados que no cum- Plen las politicas.
3 2 SE LOGRA CON Definicion de marco de trabajo. Elaboracion e implantacion de politicas El refuerzo de politicas
Se debe implementar un programa de comunicacin continua para dar a conocer la misin, los objetivos de servicio, polticas y procedimientos aprobados y apoyados por la direccin OBJETIVOS DE CONTROL 1. Ambiente de politicas y de control 2.Riesgo corporativo 3.Administracion de politicas para TI 4.Implantacio de polticas de TI 5.Comunicacion de los objetivos NO EXISTENTE INICIAL REPETIBLE DEFINIDO ADMINISTRADO OPTIMIZADO MODELO DE MADUREZ P07 ADMINISTRAR LOS RECURSOS HUMANOS DE TI Reclutamiento y Retencion Competencias del Personal Asignacion de Roles Entramiento del Personal de TI Dependencia sobre individuos OBJETIVOS Procedimientos de investigacion del personal Evaluacion del Desempeo Cambios y Terminacin del trabajo Planear y Organizar Auditoria de Sistemas MODELO DE MADUREZ Se reconoce la necesidad de los RH Para proyectos y/o actividades Proceso definido y documentado Elaboracion y mantemiento Actualizacin Inicial Repetible Definido Administrado y Medible Optimizado Planear y Organizar Auditoria de Sistemas www.themegallery.com 1 2 3 4 Planear y Organizar Auditoria de Sistemas PO8 ADMINISTRAR LA CALIDAD 5 6 SISTEMA DE ADMINISTRACION DE CALIDAD ESTNDARES Y PRCTICAS DE CALIDAD ESTNDARES DE DESARROLLO Y DE ADQUISICION ENFOQUE EN EL CLIENTE DE TI MEJORA CONTINUA MEDICION, MONITOREO Y REVISION DE LA CALIDAD MODELO DE MADUREZ Conciencia de la necesidad de QMS Se crean programas para algunas actividades Se han definido estndares de calidad EL QMS es aplicado a todos los proceso y areas Los QMS son adapta- bles y flexibles. Incial Repetible Definido Administrado y Medible Optimizado Planear y Organizar Auditoria de Sistemas www.themegallery.com P09. EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI Planear y Organizar Auditoria de Sistemas Analizar y comunicar los riesgos de TI Evaluar, documentar y dar mantenimiento Tratamiento idneo p/responder adecuadamente Responsabilidad de la Administracin
PLANEAR Y ORGANIZAR www.themegallery.com PO9 OBJETIVOS DE CONTROL
Plan de Accin Contra los Riesgos
Planear y Organizar Auditoria de Sistemas Establecer un Marco de trabajo Planificar y Administrar PO9.1 Marco de Trabajo de Administracin de Riesgos. PO9.2 Establecimiento del Contexto del Riesgo. PO9.3 Identificacin de Eventos. PO9.4 Evaluacin. PO9.5 Respuesta a los Riesgos. PO9.6 Mantenimiento y Monitoreo. OBJETIVOS MODELO DE MADUREZ No existe Inicial:/ Ad Hoc Repetible pero Intuitivo Definido Administrado y Medible Optimizado
NO se Consideran Riesgos No Habr Respuesta Se realizan evaluaciones Informales de riesgos Procesos de mitigacin de riesgos estn iniciando a ser implantados Define Cundo y Cmo Realizar las Evaluaciones de Riesgos Procedimientos Estndar Las buenas prcticas se aplican en toda la Organizacin.
www.themegallery.com Incluir un Plan Maestro de Recursos Asegurar y Garantizar la Calidad y Definicin de un Plan Formal Garantiza a la Administracin de los Posibles Riesgos del Proyecto y la Entrega de Valor para el Negocio. Planear y Organizar Auditoria de Sistemas PO10 ADMINISTRACIN DE PROYECTOS Coordinacin de todos los proyectos y Programas de TI que se han establecido
PO10.9 Administracin de Riesgos PO10.14 Cierre del Proyecto PO 10.1 Administracin de Programas PO10.2 Administracin de Proyectos PO10 OBJETIVOS DE CONTROL PO10.3 Enfoque de administracin PO10.4 Compromiso de los Interesados PO10.5 Declaracin de Alcance PO10.6 Inicio de las Fases del Proyecto PO10.7 Plan Integrado del Proyecto PO10.8 Recursos del Proyecto PO10.13 Medicin del Desempeo PO10.12 Planeacin y Mtodos de Proyecto PO10.11 Control de Cambios del Proyecto ww.themegallery.com 0 No Existente
1 Inicial / Ad Hoc 3 Definido 4 Administrado y Medible 2 Repetible 5 Optimizado PO 10 MODELO DE MADUREZ La mala administracin de los proyectos y con las fallas de desarrollo en el proyecto. Existe una carencia de compromiso y Administracin por parte de la gerencia. La organizacin est en proceso de Desarrollar y utilizar algunas tcnicas y mtodos proyecto por proyecto
Se establece una oficina de admn. de proyectos dentro de TI, con roles y responsabilidades iniciales definidas.
La administracin de proyectos se mide y evala a travs de la organizacin y no slo en TI. .
Se ha definido e implantado una estrategia de TI para contratar el desarrollo y los proyectos operativos.