Embed Size (px)
Citation preview
ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES
PROCESOSPO1 Definir un Plan Estratégico de TI
PLANEAR Y ORGANIZAR
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P S * * * *
Control sobre el proceso de TI de P Facilitador primario
Definir un plan estrtágico para TI S Facilitador secundario
Que satisface el requerimimiento del negocio de TI para
Sostener los requerimientos de la empresa, manteniendo la transparencia en cuanto a beneficios, costos y riesgos.
Enfocándose en
la incorporación de TI en la traducción de los requerimientos de la empresa a ofertas de servicio y el desarrollo de estrategias para entregarlos de una forma clara y transparente.
Se logra con
• El compromiso con los responsables de la empresa para alinear la planeación estratégica de TI con las necesidades.
• Entendimiento de las capacidades actuales de TI
• Un esquema priorisando los objetivos de la empresa con los requerimientos.
Y se mide con
• Porcentaje de objetivos de TI en el plan estratégico.
• Porcentaje de proyectos TI en el portafolio de proyectos.
MATRIZ RACI
PO1.1 Administracion del Valor de TI
PO1.2 Alineacion de TI con el Negocio
PO1.3 Evaluacion del Desempeño y la Capacidad Actual
PO1.4 Plan Estrategico de TI
PO1.5 Planes tacticos de TI
PO1.6 Administracion del Portafolio de TI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
Administrado y Medible
Definido
Definido
Administrado y Medible
Repetible pero Intuitivo
Repetible pero Intuitivo
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Dueno del p
roce
so d
e nego
cio
Direct
or de In
form
ática
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
Relacionar las metas del negocio con las de TI
MATRIZ RACIC I A R C
C C R A C C C C C C R
A C C R I C C C C I C A
C I A C C C C C C I C
C I I A R R C R C R I I
PO2 Definir la Arquitectura de la Información
Responsable
Quien debe rendir cuentas
Quien debe ser consultado
Quien debe ser informado
Identificar dependencias críticas y desempeño actual
Construir un plan estratégico para TI
Construir planes tácticos para TI
Analizar portafolios de programas y administrar portafolios de servicios y proyectos
Relacionar las metas del negocio con las de TI
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
S P S P * *
Control sobre el proceso de TI de
Definir la Arquitectura de la Información
Que satisface el requerimimiento del negocio de TI para
Poder dar respuesta a los requerimientos de manera rapida, dando una informacion confiable y consitente, para poder integrar dentro de los procesos del negocio de forma transparente
Enfocándose en
Establecer un modelo de datos empresarial, el mismo que debe incluir un esquema de clasificación para que la información garantice la integridad y consistencia de los datos
Se logra con
• Aseguramiento de exactitud en la arquitectura de la información y del modelo de datos
• Asignación de propiedad de datos
• Clasificación de información usando un esquema de clasificación acordado
Y se mide con
• Porcentaje de elementos de datos redundantes
• Porcentaje de aplicaciones que no cumplen con la metodología de arquitectura de la información
• Frecuencia de actividades de validación de datos
OBJETIVOS DE CONTROL
PO2.1 Modelo de Arquitectura de Informacion Empresarial
PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos
PO2.3 Esquema de Clasificacion de Datos
PO2.4 Administracion de Integridad
NIVEL DE MADUREZ
Inicial/Ad Hoc
Inicial/Ad Hoc
Inicial/Ad Hoc
Definido
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueno del p
roce
so d
e nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
Crear y mantener modelo de información empresarial
MATRIZ RACIC I A C R C C C
I C A R C R
I C A C C I C C R A
I C A C C I C C R C
C C I A C R C I I
PO3 Determinar la Dirección Tecnológica
Responsable
Quien debe rendir cuentas
Quien debe ser consultado
Quien debe ser informado
Crear y mantener modelo de información empresarial
Crear y mantener un diccionario de datos coorporativo
Establecer y mantener un esquema de clasificación de datos
Brindar procedimientos y herramientas para los sistemas de información
Usar modelo de información, diccionario de datos y esquema de clasificación
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P * *
Control sobre el proceso de TI de
Determinar la Dirección Tecnológica
Que satisface el requerimimiento del negocio de TI para
Sistemas aplicativos estándares, bien integrados, rentables y estables.
Enfocándose en
Definición e implementación de una arquitectura y estándares que tomen en cuenta y aprovechen las oportunidades tecnológicas
Se logra con
• El establecimiento de un plan de infraestructura tecnológica equilibrado versus costos, riesgos y requerimientos.
•Definición de estándares de infraestructura tecnológica basados en requerimientos de arquitectura de información
Y se mide con
• Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnológica
• Número de plataformas de tecnología por función a través de toda la empresa
OBJETIVOS DE CONTROL
PO3.1 Planeacion de la Direccion Tecnologica
PO3.2 Plan de Infraestuctura Tecnologica
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras
PO3.4 Estandares Tecnologicos
PO3.5 Consejo de Arquitectura de TI
NIVEL DE MADUREZ
Definido
Definido
No existente
Inicial/Ad Hoc
Inicial/Ad Hoc
MATRIZ RACI Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueno de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
Crear y mantener un plan de infraestructura tecnológica
MATRIZ RACII I A C R C C C
A C R C I I I R
I I A I R I I I I A
I I A C R C C C C
C C A C R C C C I
PO4 Definir los Procesos, Organización y Relaciones de TI
Quien debe rendir cuentas
Quien debe ser consultado
Quien debe ser informado
Responsable
Crear y mantener un plan de infraestructura tecnológica
Crear y mantener estándares tecnológicos
Publicar estándares tecnológicos
Monitorear la evolución tecnológica
Definir el uso de la nueva tecnolgía
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P *
Control sobre el proceso de TI de
Definir los Procesos, Organización y Relaciones de TI
Que satisface el requerimimiento del negocio de TI para
Agilizar la respuesta a las estrategias del negocio
Enfocándose en
Establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables
Se logra con
• Definición de un marco de trabajo de procesos de TI
• Establecimiento de un cuerpo y una estructura organizacional apropiada
• Definición de roles y responsabilidades
Y se mide con
• Número de unidades/procesos de negocio que no reciben soporte de TI y que deberían recibirlo
• Número de actividades clave de TI fuera de la organización de TI que no son aprobadas y que no están sujetas a los estándares organizacionales de TI
Administrado y Medible
Administrado y Medible
Repetible pero Intuitivo
Definido
Definido
NIVEL DE MADUREZ
Definido
Administrado y Medible
Repetible pero Intuitivo
Definido
Definido
Administrado y Medible
Definido
Repetible pero Intuitivo
Administrado y Medible
Administrado y Medible
OBJETIVOS DE CONTROL
PO4.1 Marco de Trabajo de Procesos de TI
PO4.2 Comité Estratégico de TI
PO4.3 Comité Directivo de TI
PO4.4 Ubicación Organizacional de la Función de TI
PO4.5 Estructura Organizacional
PO4.6 Establecimiento de Roles y Responsabilidades
PO4.7 Responsabilidad de Aseguramiento de Calidad de TI
PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento
PO4.9 Propiedad de Datos y de Sistemas
PO4.10 Supervisión
PO4.11 Segregación de Funciones
PO4.12 Personal de TI
PO4.13 Personal Clave de TI
PO4.14 Políticas y Procedimientos para Personal Contratado
PO4.15 Relaciones
MATRIZ RACI Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueno de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
Relacionar las metas del negocio con las de TI
MATRIZ RACIC C C A C C C R C I
C C C A C C C R C C R
C C A C R I I I I I A
I A C C I R I I I C C
I I A I C C C R C C I
PO5 Administrar la Inversión en TI
Responsable
Quien debe rendir cuentas
Quien debe ser consultado
Quien debe ser informado
Construir un plan estratégico para TI
Construir planes tácticos para TI
Analizar portafolios de programas y administrar portafolios de servicios y proyectos
Identificar dependencias críticas y desempeño actual
Relacionar las metas del negocio con las de TI
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P S * * *
Control sobre el proceso de TI de
Administrar la Inversión en TI
Que satisface el requerimimiento del negocio de TI para
Mejorar la rentabilidad de TI y su contribución a la rentabilidad del negocio con servicios integrados y estandarizados.
Enfocándose en
Decisiones de portafolio e inversión en TI efectivas y eficientes.
Se logra con
• El pronóstico y la asignación de presupuestos
• La medición y evaluación del valor del negocio en comparación con el pronóstico
Y se mide con
• El porcentaje de reducción en el costo unitario del servicio de TI
• Porcentaje del valor de la desviación respecto al presupuesto en comparación con el presupuesto total
Repetible pero Intuitivo
NIVEL DE MADUREZ
Inicial/Ad Hoc
Inicial/Ad Hoc
Repetible pero Intuitivo
Inicial/Ad Hoc
OBJETIVOS DE CONTROL
PO5.4 Administracion de los Costos de TI
PO5.5 Administracion de Beneficios
MATRIZ RACI
PO5.1 Marco de Trabajo para la Administracion Financiera
PO5.2 Prioridades dentro del presupuesto de TI
PO5.3 Proceso presupuestal
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueno de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
Dar mantenimiento al protafolio de programas de inversion
MATRIZ RACIA R R R C I I
I C A A C C C C I R
I C A A C C C I A
I C C A C C C R C C
I C C A C C C R C C I
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
Quien debe ser consultado
Quien debe ser informado
Responsable
Quien debe rendir cuentas
Identificar, comunicar y monitorear la inversion, costo y valor de TI para el negocio
Dar mantenimiento al protafolio de programas de inversion
Dar mantenimiento al protafolio de proyectos
Dar mantenimiento al protafolio de servicios
Establecer y mantener proceso presupuestal de TI
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P S * *
Control sobre el proceso de TI de
Comunicar las Aspiraciones y la Dirección de la Gerencia
Que satisface el requerimimiento del negocio de TI para
Informar oportunamente sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades
Enfocándose en
Proporcionar políticas y procedimientos, de forma precisa y entendible; que se encuentre dentro del marco de trabajo de control de TI
Se logra con
• La definición de un marco de trabajo de control para TI
• La elaboración e implantación de políticas para TI
Y se mide con
• Número de interrupciones en la empresa debidas a interrupciones en el servicio de TI
• Porcentaje de interesados que entienden el control de TI
• Porcentaje de interesados que no cumple las políticas
NIVEL DE MADUREZ
Inicial/Ad Hoc
No existente
Repetible pero Intuitivo
Repetible pero Intuitivo
Inicial/Ad Hoc
MATRIZ RACI
OBJETIVOS DE CONTROL
PO6.1 Ambiente de Politicas y de Control
PO6.2 Riesgo Corporativo y Marco de referencia de control Interno de TI
PO6.3 Administracion de Politicas para TI
PO6.4 Implantacion de Politicas para TI
PO6.5 Comunicacion de los Objetivos y la Direccion de TI
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueno de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
ResponsableElaborar y mantener un ambiente y marco de control de TI
MATRIZ RACII C I A I C C C C R
I I I A C C C R C A
I I I A R C C
I
PO7 Administrar Recursos Humanos de TI
Responsable
Quien debe rendir cuentas
Quien debe ser consultado
Quien debe ser informado
Comunicar el marco de control, objetivos y direccion de TI
Elaborar y mantener un ambiente y marco de control de TI
Elaborar y mantener politicas de TI
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P *
Control sobre el proceso de TI de
Administrar Recursos Humanos de TI
Que satisface el requerimimiento del negocio de TI para
Adquirir gente competente y motivada para crear y entregar servicios de TI
Enfocándose en
Contratación y entrenamiento del personal, motivación, asignación de roles segun habilidades
Se logra con
• La revisión del desempeño del personal
• La contratación y entrenamiento de personal de TI para apoyar los planes tácticos de TI
Y se mide con
• El nivel de satisfacción de los interesados respecto a la experiencia y habilidades del personal
• Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
Inicial
Administrado y Medible
PO7.1 Reclutamiento y retención del personal
PO7.2 Competencias del personal
PO7.3 Asignación de roles
PO7.4 Entrenamiento del personal de TI
Repetible pero Intuitivo
PO7.5 Dependencias sobre los individuos
PO7.6 Procedimientos de investigación del personal
PO7.7 Evaluación del desempeño del empleado
PO7.8 Cambios y terminación del trabajo
Administrado y Medible
Repetible pero Intuitivo
Administrado y Medible
Administrado y Medible
Administrado y Medible
MATRIZ RACI Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueno de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
ResponsableIdentificar habilidades de TI, rango de salarios y desempeno del personal
MATRIZ RACIC A C C C R C R
A R R R R R C A
C
I
PO8 Administrar la Calidad
Quien debe ser informado
Responsable
Quien debe rendir cuentas
Quien debe ser consultado
Ejecutar las politicas y procedimientos relevantes de RH para TI
Identificar habilidades de TI, rango de salarios y desempeno del personal
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P S S * * * *
Control sobre el proceso de TI de
Administrar la Calidad
Que satisface el requerimimiento del negocio de TI para
La mejora continua y medible de la calidad de los servicios prestados por TI
Enfocándose en
La definición de un sistema de administración de calidad y monitoreo del desempeño.
Se logra con
• La definición de estándares y prácticas de calidad
• El monitoreo y revisión interna y externa del desempeño contra los estándares y prácticas de calidad
• La mejorara del QMS de manera continua
Y se mide con
• Porcentaje de Interesados satisfechos con la calidad
• Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA)
PO8.6 Medición, Monitoreo y Revisión de la Calidad
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
Administrado y Medible
Definido
Administrado y Medible
Repetible pero intuitivo
Repetible pero intuitivo
Administrado y Medible
MATRIZ RACI
PO8.3 Estándares de Desarrollo y de Adquisición
PO8.4 Enfoque en el Cliente de TI
PO8.5 Mejora Continua
PO8.1 Sistema de Administración de Calidad
PO8.2 Estándares y Prácticas de Calidad
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueno de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
ResponsableDefinir un sistema de administracion de calidad
MATRIZ RACIC C A I I I I I I C R
I I I A I C C C C C C A
I A I C C C C C C C
A I C C C C C C I
A I C C C C C C
PO9 Evaluar y Administrar los Riesgos de TI
Responsable
Quien debe rendir cuentas
Quien debe ser consultado
Quien debe ser informado
Establecer y mantener un sistema de administracion de calidad
Crear y comunicar estandares de calidad a toda la organizacion
Crear y administrar el plan de calidad para la mejora continua
Medir, monitorear y revisar el cumplimiento de las metas de calidad
Definir un sistema de administracion de calidad
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
S S P P P S S * * * *
Control sobre el proceso de TI de
Evaluar y Administrar los Riesgos de TI
Que satisface el requerimimiento del negocio de TI para
Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio
Enfocándose en
La elaboración de un marco de trabajo de administración de riesgos, con marcos gerenciales de riesgo operacional, evaluación de riesgos y comunicación de riesgos residuales
Se logra con
• La garantía de que la administración de riesgos está incluida completamente en los procesos administrativos.
• La realización de evaluaciones de riesgo
• La recomendación y comunicación de planes de acción para remediar riesgos
Y se mide con
• Porcentaje de objetivos críticos de TI cubiertos por la evaluación de riesgos
• Porcentaje de riesgos críticos de TI identificados con planes de acción elaborados
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
InicialPO9.1 Marco de Trabajo de Administración de Riesgos
PO9.2 Establecimiento del Contexto del Riesgo
PO9.3 Identificación de Eventos
PO9.4 Evaluación de Riesgos de TI
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
Repetible pero intuitivo
Inicial
Inicial
Repetible pero intuitivo
Repetible pero intuitivo
MATRIZ RACI Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueno de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIDeterminar la alineacion de la administracion de riesgos A A C C A I I
C C A C C I R
C C A I A
A C C C I C
I A A R R R R C I
A A R R R R C
I I A A A R R R R C
C C A A R R C C C C
A A R I I I I I
A C I R R C C C C C R
PO10 Administrar Proyectos
Responsable
Quien debe rendir cuentas
Quien debe ser consultado
Quien debe ser informadoIdentificar eventos asociados con objetivos; algunos estan orientados a TI
Entender los objetivos de negocio estrategicos y relevantes
Determinar la alineacion de la administracion de riesgos
Entender los objetivos de los procesos de negocios relevantes
Identificar los objetivos internos de TI y establecer el contexto del riesgo
Mantener y monitorear un plan de accion de riesgos
Aprobar y asegurar fondos para planes de accion de riesgos
Priorizar y planear actividades de control
Evaluar y seleccionar respuestas a riesgos
Asesorar el riesgo con los eventos
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P * * *
Control sobre el proceso de TI de
Administrar Proyectos
Que satisface el requerimimiento del negocio de TI para
La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados
Enfocándose en
Un programa y un enfoque de administración de proyectos definidos, el cual se aplica a todos los proyectos de TI
Se logra con
• La definición e implantación de marcos de trabajo y enfoques de programas y de proyectos
• La planeación de proyectos para todos los proyectos incluidos en el portafolio de proyectos
Y se mide con
• Porcentaje de proyectos que satisfacen las expectativas de los interesados
• Porcentaje de proyectos con revisión post-implantación
• Porcentaje de proyectos que siguen estándares y prácticas de administración de proyectos
Repetible pero intuitivo
Repetible pero intuitivo
Inicial
MATRIZ RACI
NIVEL DE MADUREZ
No existe
Repetible pero intuitivo
Inicial
Definido
Repetible pero intuitivo
Repetible pero intuitivo
No existe
Inicial
PO10.1 Marco de Trabajo para la Administración de Programas
PO10.2 Marco de Trabajo para la Administración de Proyectos
PO10.3 Enfoque de Administración de Proyectos
PO10.4 Compromiso de los Interesados
PO10.5 Declaración de Alcance del Proyecto
PO10.6 Inicio de las Fases del Proyecto
OBJETIVOS DE CONTROL
PO10.7 Plan Integrado del Proyecto
PO10.8 Recursos del Proyecto
PO10.9 Administración de Riesgos del Proyecto
PO10.10 Plan de Calidad del Proyecto
PO10.11 Control de Cambios del Proyecto
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueno de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIDefinir un marco de administracion de programas para inversiones en TI C C A R C C
I I I A I C C C C R C R
I I I R C C C C A C A
C C C C C C C A C C
I A R C C I
Asegurar el control efectivo de los proyectos y de los cambios a proyectos C C C C C A C
Definir e implementar metodos de aseguramiento y revision de proyectos I C I A C
P Facilitador primario
S Facilitador secundario
AI1 Identificar soluciones automatizadas
Responsable
Quien debe rendir cuentas
Quien debe ser consultado
Quien debe ser informado
ADQUIRIR E IMPLEMENTAR
PROCESOS
Elaborar planees de calidad, presupuestos y administracion de riesgos
Asegurar la participacion y compromiso de los interesados del proyecto
Establecer y mantener un marco de trabajo para la administracion de proyectos de TI
Establecer y mantener un sistema de monitoreo, medicion y administracion
Definir un marco de administracion de programas para inversiones en TI
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P S * *
Control sobre el proceso de TI de
Identificar soluciones automatizadas
Que satisface el requerimimiento del negocio de TI para
Traducir los requerimientos funcionales y de control a un diseño efectivo y eficiente de soluciones automatizadas
Enfocándose en
La identificación de soluciones técnicamente factibles y rentables
Se logra con
• La definición de los requerimientos técnicos y de negocio
• Realizar estudios de factibilidad como se define en los estándares de desarrollo
• Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad
Y se mide con
• Número de proyectos donde los beneficios establecidos no se lograron debido a suposiciones de factibilidad incorrectas
• Porcentaje de estudios de factibilidad autorizados por el dueño del proceso
• Porcentaje de usuarios satisfechos con la funcionalidad entregada
AI1.1 Definición y Mantenimiento de los Req Técnicos y Funcionales del Negocio Repetible pero Intuitivo
AI1.2 Reporte de Análisis de Riesgos Definido
AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos Definido
AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación Administrado y Medible
MATRIZ RACI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
Definir los requerimientos funcionales y tecnicos del negocio
MATRIZ RACIC C C R C R R A/R I
C C I A/R C R Responsable
A/R R R R C R I A A Quien debe rendir cuentas
R R I C C R C C Quien debe ser consultado
R R I I I R I Quien debe ser informado
A/R R C C C I R
C A C C C R C
C A/R R R C C C R C
AI2 Adquirir y mantener software aplicativo
Definir los requerimientos funcionales y tecnicos del negocio
Establecer procesos para la integridad / validez de los requerimientos
Identificar, documentar y analizar el riesgo del proceso del negocio
Conducir un estudio de factibilidad / evaluacion de impacto con respecto a la implantacion
Evaluar los beneficios operativos de TI para las soluciones propuestas
Evaluar los beneficios de negocio de las soluciones propuestas
Elaborar un proceso de aprobacion de requerimientos
Aprobar y autorizar soluciones propuestas
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P S S *
Control sobre el proceso de TI de
Adquirir y dar mantenimiento a software aplicativo
Que satisface el requerimimiento del negocio de TI para
Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a tiempo y a un costo razonable
Enfocándose en
Garantizar que exista un proceso de desarrollo oportuno y confiable
Se logra con
• La traducción de requerimientos de negocio a especificaciones de diseño
• La adhesión a los estándares de desarrollo para todas las modificaciones
• La separación de las actividades de desarrollo, de pruebas y operativas
Y se mide con
• Número de problemas en producción por aplicación, que causan tiempo perdido significativo
• Porcentaje de usuarios satisfechos con la funcionalidad entregada
AI2.10 Mantenimiento de Software Aplicativo Repetible pero Intuitivo
MATRIZ RACI
AI2.5 Configuración e Implantación de Software Aplicativo Adquirido Administrado y Medible
AI2.6 Actualizaciones Importantes en Sistemas Existentes Repetible pero Intuitivo
AI2.7 Desarrollo de Software Aplicativo Definido
AI2.8 Aseguramiento de la Calidad del Software Repetible pero Intuitivo
AI2.9 Administración de los Requerimientos de Aplicaciones Inicial / Ad Hoc
NIVEL DE MADUREZ
AI2.1 Diseño de Alto Nivel Administrado y Medible
AI2.2 Diseño Detallado Definido
AI2.3 Control y Posibilidad de Auditar las Aplicaciones Inicial
AI2.4 Seguridad y Disponibilidad de las Aplicaciones Administrado y Medible
OBJETIVOS DE CONTROL
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACITraducir los requerimientos del negocio en especificaciones de diseño de alto nivel C C R A/R C
I C C C A/R R C R
R C A/R R R A
C C A/R R C C C C C A C R C I
Crear un plan de aseguramiento de la calidad del software para el proyecto I A/R C
Dar seguimineto y administrar los requerimientos de la aplicación A/R
Desarrollar un plan para el mantenimento de aplicaciones de software C C A/R C
AI3 Adquirir y mantener infraestructura tecnológica
Desarrollar las metodologias y procesos formales para administrar el proceso de desarrollo Quien debe ser informado
Traducir los requerimientos del negocio en especificaciones de diseño de alto nivel
Preparar diseño detallado y los requerimientos tecnicos del software aplicativo Responsable
Especificar los controles de aplicación dentro del diseño Quien debe rendir cuentas
Personalizar e implementar la funcionalidad automatizada adquirida Quien debe ser consultado
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
S P S S *
Control sobre el proceso de TI de
Adquirir y dar mantenimiento a la infraestructura tecnológica
Que satisface el requerimimiento del negocio de TI para
Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI
Enfocándose en
Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y los estándares de tecnología
Se logra con
• El establecimiento de un plan de adquisición de tecnología que se alinea con el plan de infraestructura tecnológica
• La planeación de mantenimiento de la infraestructura
• La implantación de medidas de control interno, seguridad y auditabilidad
Y se mide con
• El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estándares de tecnología
• El número de procesos de negocio críticos soportados por infraestructura obsoleta (o que pronto lo será)
• El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrán en el futuro cercano)
AI3.4 Ambiente de Prueba de Factibilidad Definido
MATRIZ RACI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
AI3.1 Plan de Adquisición de Infraestructura Tecnológica Repetible pero Intuitivo
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura Repetible pero Intuitivo
AI3.3 Mantenimiento de la Infraestructura Repetible pero Intuitivo
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIDefinir el procedimiento / proceso de adquisicion ResponsableC A C C C R I R
C/I A I R C C R I A
A R R R C I C
A R C IConfigurar componentes de la infraestructura Quien debe ser informado
Definir el procedimiento / proceso de adquisicion Responsable
Negociar la compra y adquirir la infraestructura requerida con proveedores (aprobados) Quien debe rendir cuentas
Definir estrategia y Planear el mantenimiento de infraestructura Quien debe ser consultado
AI4 Facilitar la operación y el uso
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P S S S S * * *
Control sobre el proceso de TI de
Facilitar la operación y el uso
Que satisface el requerimimiento del negocio de TI para
Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma
transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio
Enfocándose en
Proporcionar manuales efectivos de usuario y de operación y materiales de entrenamiento para transferir el
conocimiento necesario para la operación y el uso exitosos del sistema.
Se logra con
• El desarrollo y la disponibilidad de documentación para transferir el conocimiento
• Comunicación y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al personal de operación
• La generación de materiales de entrenamiento
Y se mide con
• El número de aplicaciones en que los procedimientos de TI se integran en forma transparente
dentro de los procesos de negocio
• El porcentaje de dueños de negocios satisfechos con el entrenamiento De aplicación y los
materiales de apoyo.
• El número de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario
y a la operación
AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte Inicial / Ad Hoc
MATRIZ RACI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
AI4.1 Plan para Soluciones de Operación Inicial / Ad Hoc
AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio Repetible pero Intuitivo
AI4.3 Transferencia de Conocimiento a Usuarios Finales Repetible pero Intuitivo
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIDesarrollar estrategia para que la solucion sea operativa C C C A/R C
I I C R C R
I C/I R A/R I A
I C R A/R C
I R R I
Evaluar los resultados del entrenamiento y ampliar la documentacion como se requiera I A/R R R R
AI5 Adquirir recursos de TI
Desarrollar y dar entrenamiento Quien debe ser informado
Desarrollar estrategia para que la solucion sea operativa
Desarrollar metodologia de transferencia de conocimiento Responsable
Desarrollar manuales de procedimineto del usuario final Quien debe rendir cuentas
Desarrollar documentaion de soporte tecnico para operaciones y personal de soporte Quien debe ser consultado
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
S P S * * * *
Control sobre el proceso de TI de
Adquirir recursos de TI
Que satisface el requerimimiento del negocio de TI para
Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio
Enfocándose en
Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI
integrada y estandarizada, y reducir el riesgo de adquisición de TI
Se logra con
• La obtención de asesoría profesional legal y contractual
• La definición de procedimientos y estándares de adquisición
• La adquisición de hardware, software y servicios requeridos de acuerdo con los procedimientos
definidos
Y se mide con
• El número de controversias en relación con los contratos de adquisición
• La reducción del costo de compra
• El porcentaje de interesados clave satisfechos con los proveedores
AI5.4 Adquisición de Recursos de TI Definido
MATRIZ RACI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
AI5.1 Control de Adquisición No Existente
AI5.2 Administración de Contratos con Proveedores Definido
AI5.3 Selección de Proveedores Inicial / Ad Hoc
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIDesarrollar politicas y procedimientos de adquisicion de TI de acuerdo con las politicas de C C C C A/R R
C C R R
C C R I I C A
R R R I I I C
I C R I I IRealizar adquisiciones de conformidad con los procedimentos establecidos Quien debe ser informado
Desarrollar politicas y procedimientos de adquisicion de TI de acuerdo con las politicas de
Establecer / mantener una lista de proveedores acreditados Responsable
Evaluar y seleccionar proveedores a traves de un proceso de solicitud de propuesta (RFP) Quien debe rendir cuentas
Desarrollar contactos que protejan los intereses de la organizacion Quien debe ser consultado
AI6 Administrar cambios
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P P P S * * * *
Control sobre el proceso de TI de
Administrar cambios
Que satisface el requerimimiento del negocio de TI para
Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la
repetición de trabajos en la prestación del servicio y en la solución.
Enfocándose en
Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI,
aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la
solicitud y detener la implantación de cambios no autorizados
Se logra con
• La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia
• La evaluación, la asignación de prioridad y autorización de cambios
• Seguimiento del estatus y reporte de los cambios
Y se mide con
• El número de interrupciones o errores de datos provocados por especificaciones inexactas o
una evaluación de impacto incompleta
• La repetición de aplicaciones o infraestructura debida a especificaciones de cambio
inadecuadas
• El porcentaje de cambios que siguen procesos de control de cambio formales
AI6.4 Seguimiento y Reporte del Estatus de Cambio Repetible pero intuitivo
AI6.5 Cierre y Documentación del Cambio Definido
MATRIZ RACI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
AI6.1 Estándares y Procedimientos para Cambios Repetible pero intuitivo
AI6.2 Evaluación de Impacto, Priorización y Autorización Inicial / Ad Hoc
AI6.3 Cambios de Emergencia Inicial / Ad Hoc
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIDesarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma C R C A/R C
I I I A/R I R
I R I A/R A
C R R C C
I I A/R I
AI7 Instalar y acreditar soluciones y cambios
Autorizar cambios Quien debe ser consultado
Administrar y diseminar la informacion relevante referente a cambios Quien debe ser informado
Desarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma
Evaluar impacto y dar prioridad a cambios en base a las necesidades del negocio Responsable
Garantizar que cualquier cambio critico y de emergencia sigue el proceso aprobado Quien debe rendir cuentas
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P S S S * * * *
Control sobre el proceso de TI de
Instalar y acreditar soluciones y cambios
Que satisface el requerimimiento del negocio de TI para
Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación
Enfocándose en
Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propósito deseado y estén
libres de errores, y planear las liberaciones a producción
Se logra con
• El establecimiento de una metodología de prueba
• Realizar la planeación de la liberación (release)
• Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio
• Ejecutar revisiones posteriores a la implantación
Y se mide con
• Tiempo perdido de la aplicación o problemas de datos provocados por pruebas inadecuadas
• Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso
posterior a la implantación
• Porcentaje de proyectos con plan de prueba documentado y aprobado
AI7.8 Promoción a Producción Definido
AI7.9 Revisión Posterior a la Implantación Repetible pero Intuitivo
AI7.3 Plan de Implantación Definido
AI7.4 Ambiente de Prueba Administrado y Medible
AI7.5 Conversión de Sistemas y Datos Optimizado
AI7.6 Pruebas de Cambios Definido
AI7.7 Prueba de Aceptación Final. Definido
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
AI7.1 Entrenamiento Administrado y Medible
AI7.2 Plan de Prueba Administrado y Medible
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de p
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIConstruir y revisar planes de investigacion C A R C C
C A R
R C R
I A/R A
Establecer ambiente de prueba y conducir pruebas de aceptacion finales I A/R C C
R R I
P Facilitador primario
S Facilitador secundario
DS1 Definir y administrar los niveles de servicio
Ejecutar la conversion del sistema y las pruebas de integracion en ambiente de prueba Quien debe rendir cuentas
Quien debe ser consultado
Recomendar la liberacion a produccion con base en los criterios de acreditacion convenidos Quien debe ser informado
ENTREGAR Y DAR SOPORTE
PROCESOS
Construir y revisar planes de investigacion
Definir y revisar una estratefia de prueba (criterio de entrada y salida) y una metodologia de
Construir y mantener un repositorio de requermimientos de negocio tecnicos y casos de Responsable
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P S S S S S * * * *
Control sobre el proceso de TI de
Definir y manejar niveles de servicio
Que satisface el requerimimiento del negocio de TI para
Garantizar la alineación de los servicios de TI con la estrategia del negocio
Enfocándose en
Identificación de requerimientos de servicio y el monitoreo del cumplimiento
de los niveles de servicio
Se logra con
Preacuerdos internos para captura de requerimientos y las capacidades de entrega
Reuniones y reportes para verificar el cumplimiento de los niveles de servicio
La identificación y comunicación de requerimientos de servicios actualizados
y nuevos para la planeacion estratégia.
Y se mide con
EL procentaje de Interesados satisfechos de que los servicios cumplen con los niveles
previamente acordados
EL número de reuniones formales de revisión del Acuerdo de Niveles de Servicio
DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio
DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos Definido
MATRIZ RACI
DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio Inicial
DS1.2 Definición de Servicios Repetible
DS1.3 Acuerdos de Niveles de Servicio Definido
DS1.4 Acuerdos de Niveles de Operación Administrado
Definido
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de p
roce
so d
e nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
Admin
istra
dor de se
rvici
o
MATRIZ RACICrear un marco de trabajo para los servicios de TI C A C C I C C I C R
I A C C I C C I I R R Responsable
I I C C R I R R C C A/R A Quien debe rendir cuentas
I C R I R R C C A/R C Quien debe ser consultado
I I R I I I A/R I Quien debe ser informado
I I C R R R C A/R
I A C C I C C I I R
I A I R I R C C I R
DS2 Administrar los servicios de terceros
Crear un plan de mejoras de servicios
Crear un marco de trabajo para los servicios de TI
Construir un catálogo de servicios de TI
Definir los convenios de niveles de servicio SLAS para los servicios críticos de TI
Definir los convenios de niveles de Operación OLAs para soportar los SLAs
Monitorear y reportar el desempeño del servicio de punta a punta
Revisar los SLAs y los contratos de apoyo
Revisar y actualizar el catálogo de servicios de TI
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P S S S S S * * * *
Control sobre el proceso de TI de
Administrar servicios del personal
Que satisface el requerimimiento del negocio de TI para
Brindar servicios satisfactorios con transparencia acerca de los beneficios, riesgos y costos
Enfocándose en
El establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios
tercerizados y el monitoreo de la prestación del servicio para verificar y asegurar la adherencia a los convenios
Se logra con
La identificación y categorización de los servicios del proveedor
La identificación y mitigación de riesgos del proveedor
El monitoreo y la medición del desempeño del proveedor
Y se mide con
El número de quejas de los usuarios debidas a los servicios contratados
El porcentaje de los principales proveedores sujetos a monitoreo
DS2.4 Monitoreo del Desempeño del Proveedor Definido
MATRIZ RACI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
DS2.1 Identificación de Todas las Relaciones con Proveedores Repetible e intuitivo
DS2.2 Gestión de Relaciones con Proveedores Definido
DS2.3 Administración de Riesgos del Proveedor Repetible e intuitivo
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de p
roce
so d
e nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIIdentificar y categorizar las relaciones de los servicios de terceros I C R C R A/R C C
C A I R I R R C C R Responsable
C A C C C R C C A Quien debe rendir cuentas
I A R R R C C C Quien debe ser consultado
R A R R R C C I Quien debe ser informado
C C C A/R C C C C R C C
DS3 Administrar el desempeño y la capacidad de los recursos de TI
Evaluar las metas de largo plazo de la relación del servicio para todos los interesados
Identificar y categorizar las relaciones de los servicios de terceros
Definir y documentar los procesos de administración del proveedor
Establecer políticas y procedimientos de evaluación y suspensión de proveedores
Identificar, valorar y mitigar los riesgos del proveedor
Monitorear la prestación del servicio del proveedor
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P S * *
Control sobre el proceso de TI de
Administrar el desempeño y la capacidad de los recursos de TI
Que satisface el requerimimiento del negocio de TI para
Optimiza el desempeño de la infraestructura, los recursos y las capacidades de TI
Enfocándose en
Cumplir con los requerimientos de los niveles de servicio a travéz del monitoreo y la medición
Se logra con
La planeación y la entrega del sistema
Monitoreando y reportando el desempeño del sistema
Modelando y pronosticando el desempeño del sistema
Y se mide con
Horas perdidas por los usuarios por mes por falta de palneación
Porcentaje de picos donde se excede la meta de utilización
Porcentaje de el timpo de respueste que no se satisface
DS3.3 Capacidad y Desempeño Futuros de TI No Existente
DS3.4 Disponibilidad de Recursos de TI Definido
DS3.5 Monitoreo y Reporte Inicial/Ad Hoc
MATRIZ RACI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
DS3.1 Planeación del Desempeño y la Capacidad de TI Inicial/Ad Hoc
DS3.2 Capacidad y Desempeño Actual de TI Repetitivo
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de P
roce
so d
e Nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
Establecer un proceso de Planeación para la revision del desempeño de recursos de TI
MATRIZ RACIA R C C C C
C I A/R C C C R Responsable
C C A/R C C C C A Quien debe rendir cuentas
C I A/R C C C C C Quien debe ser consultado
I I A/R I I I I I Quien debe ser informado
DS4 Garantizar la continuidad del servicio
Establecer un proceso de Planeación para la revision del desempeño de recursos de TI
Revisar el desempeño y la capacidad actual de los recursos de TI
Realizar pronósticos de desempeño y capacida de los recursos de TI
Realizar un plan de contingencia respecto a una falta de potencia de los recursos de TI
Monitoriar continuamente la disponibilidad, desempeño y capacidad de recursos de TI
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P S P * * * *
Control sobre el proceso de TI de
Garantizar la continuidad del servicio
Que satisface el requerimimiento del negocio de TI para
Asegurar un minimo impacto al negocio en caso de una interrupción de servicio de TI'
Enfocándose en
Desarrollar resistencias enlas soluciones automatizadas y desarrollando, manteniendo y probando los
planes de continuidad de TI
Se logra con
Desarrollando y manteniendo los planes de contingencia de TI
Con entrenamiento y pruebas de los planes de contingencia de TI
Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones
Y se mide con
Número de horas perdidas por usuarios por mes, debidas a interrupciones no pleneadas
Número de procesos críticos de negocio que dependen de TI, que no están cubiertos por un plan de continuidad
DS4.8 Recuperación y Reanudación de los Servicios de TI Repetible Intuitivo
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones Definido
DS4.10 Revisión Post Reanudación Definido
MATRIZ RACI
DS4.3 Recursos Críticos de TI Definido
DS4.4 Mantenimiento del Plan de Continuidad de TI No Existente
DS4.5 Pruebas del Plan de Continuidad de TI No Existente
DS4.6 Entrenamiento del Plan de Continuidad de TI No Existente
DS4.7 Distribución del Plan de Continuidad de TI No Existente
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
DS4.1 Marco de Trabajo de Continuidad de TI Inicial / Ad Hoc
DS4.2 Planes de Continuidad de TI No Existente
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de P
roce
so d
e Nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIDesarrollar un marco de trabajo de continuidad de TI C C A C R R R C C R Responsable
C C C C A/R C C C C A Quien debe rendir cuentas
I C C C C A/R C C C C Quien debe ser consultado
C I A/R C I C I Quien debe ser informado
I I A/R R R R
C I A/R C C C I
I R A/R R R R
I I C C A/R C C R I
I A/R R R R
C I A/R C C I
DS5 Garantizar la seguridad de los sistemas
Desarrollar y mantener planes de continuidad de TI
Identificar y categorizar los recursos de TI
Definir y ejecutar procedimientos de control de cambios
Simular una falla en el sistema para probar el plan de contingencia
Generar un plan de acción a seguir en base a los resultados de la simulación
Planear y llevar a cabo una capacitación sobre los planes de continuidad de TI
Planear e implementar el alamcenamiento y la protección de respaldos
Realizar un procedimiento para llevar a cabo un revisión post reanudación
Desarrollar un marco de trabajo de continuidad de TI
Realizar un análisis del impacto al negocio y valoración de riesgo
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P S S S * * * *
Control sobre el proceso de TI de
Garantizar la seguridad de los sistemas
Que satisface el requerimimiento del negocio de TI para
Mantener la integridad de la información y la infraestructura para minimizar vulnerabilidades e incidentes de seguridad
Enfocándose en
Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo, detección y reporte de vulnerabilidades del sistema
Se logra con
Entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad.
La administración de identidades y autorizaciones de los usuarios de forma estandarizada.
Porbar y evaluar la seguridad de forma regular
Y se mide con
Incidentes que dañan la reputación con el público
Numero de sistemas que no cumplen los requerimientos de seguridad
Violaciones en la segregacion de tareas
DS5.10 Seguridad de la Red Administrado y Medible
DS5.11 Intercambio de Datos Sensitivos Repetible pero Intuitivo
MATRIZ RACI
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad Repetible pero Intuitivo
DS5.6 Definición de Incidente de Seguridad Repetible pero Intuitivo
DS5.7 Protección de la Tecnología de Seguridad Repetible pero Intuitivo
DS5.8 Administración de Llaves Criptográficas Definido
DS5.9 Prevención, Detección y Corrección de Software Malicioso Repetible pero Intuitivo
NIVEL DE MADUREZ
DS5.1 Administración de la Seguridad de TI Definido
DS5.2 Plan de Seguridad de TI Administrado y Medible
DS5.3 Administración de Identidad Administrado y Medible
DS5.4 Administración de Cuentas del Usuario Administrado y Medible
OBJETIVOS DE CONTROL
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de P
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIDefinir y mantener un plan de seguridad I C C A C C C C I I R
I A C R R I C R Responsable
A I R C C R A Quien debe rendir cuentas
I A C R C Quien debe ser consultado
A R I C I Quien debe ser informado
A C C R R C
I A I C C C R
DS6 Identificar y asignar costos
Mantener y salvaguardar las llaves criptográficas.
Implementar controles técnicos para proteger el flujo de información en la red
Realizar evaluaciones de vulnerabilidad de manera regular.
Definir y mantener un plan de seguridad
Definir y establecer la administración de cuentas de usuarios
Monitorear incidentes de seguridad, reales y potenciales
Revisar y validar periódicamente los privilegios y derechos de acceso de los usuarios
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P P * * * *
Control sobre el proceso de TI de
Identificar y asignar costos
Que satisface el requerimimiento del negocio de TI para
Transparentar y entender los costos de TI y mejorar la rentabilidad a travéz del uso de servicios de TI
Enfocándose en
El registro completo y preciso de los costos de TI
Se logra con
Aliniación de cargos con la calidad y cantidad de los servicios brindados
Construccón y aceptación de un modelo de costos completo
La aplicación de cargos con base a la política acordada.
Y se mide con
Facturas de servicios de TI pagadas por la gerencia del negocio
Variaciones entre los presupuestos, pronósticos y costos actuales.
Costos totales de TI de acuerdo con los modelos acordados
DS6.3 Modelacion de Costos y Cargos Repetitivo pero Intuitivo
DS6.4 Mantenimiento del Modelo de Costos Repetitivo pero Intuitivo
MATRIZ RACI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
DS6.1 Definicion de Servicios Inicial / Ad Hoc
DS6.2 Contabilizacion de TI Repetitivo pero Intuitivo
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de P
roce
so d
el nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIMapear la infraestructura con los servicios brindados C C A C C C C R C R Responsable
C A C C C R C A Quien debe rendir cuentas
C C A C C C C R C C Quien debe ser consultado
C C A C C C C R C I Quien debe ser informado
DS7 Educar y entrenar a los usuarios
Mapear la infraestructura con los servicios brindados
Identificar todos los costos de TI
Establecer y mantener un proceso de control de contabilización de TI y de costos
Establecer y mantener procedimientos y políticas de facturación
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P S *
Control sobre el proceso de TI de
Educar y entrenar a los usuarios
Que satisface el requerimimiento del negocio de TI para
El uso efectivo y eficiente de soluciones y aplicaciones tecnológicas y el cumplimiento del usuario con las políticas y
procedimientos
Enfocándose en
Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecución de una efectiva
estrategia de entrenamiento y la medición de resultados
Se logra con
Establecer un programa de entrenamiento
Organizar e impartir entrenamiento
Monitorear y reportar la efectividad del entrenamiento
Y se mide con
Número de llamadas de soporte debido a problemas de entrenamiento
Porcentaje de satisfacción de los Interesados con el entrenamiento recibido
Lapso de tiempo entre la identificación de la necesidad de entrenamiento y la impartición del mismo
DS7.1 Identificacion de Necesidades de Entrenamiento y Educacion
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
Definido
DS7.2 Imparticion de Entrenamiento y Educacion Inicial/ Ad Hoc
DS7.3 Evaluacion de Entrenamiento Recibido Repetible e Intuitivo
MATRIZ RACI Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño de P
roce
so d
e Nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
Departa
mento
de ca
pacita
ción
MATRIZ RACIIdentificar y categorizar las necesidades de capacitación de los usuarios C R C C C C C C C R R Responsable
C R C C I C C C I R A Quien debe rendir cuentas
I C C C I C C C I R C Quien debe ser consultado
I R C C I C C C I R I Quien debe ser informado
I R C C C C C C C R
DS8 Administrar la configuración
Construir un programa de capacitación
Realizar actividades de capacitación, instrusión y concienciación
Llevar a cabo evaluaciones de la capacitación
Identificar y evaluar los mejores métodos y herramientas para la capacitación
Identificar y categorizar las necesidades de capacitación de los usuarios
Efect
ividad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabilid
ad
Aplicac
iones
Info
rmac
ión
Infra
estru
ctura
Personas
P S S S * * *
Control sobre el proceso de TI de
Administrar la configuración
Que satisface el requerimimiento del negocio de TI para
Optimizar la infraestructura, recursos y capacidades de TI
Enfocándose en
Establecer y mantener un repositorio completo y preciso de atributos de la configuración de los activos.
Se logra con
El establecimiento de un repositorio central de todos los elementos de la configuración
La identificación de los elementos de configuración y su mantenimiento
Revisión de la integridad de los datos de configuración
Y se mide con
El número de problemas de cumplimiento del negocio debido a inadecuada configuración
Porcentaje de licencias compradas y no registradas en el repositorio
DS8.3 Revision de Integridad de la Configuracion Definido
MATRIZ RACI
OBJETIVOS DE CONTROL NIVEL DE MADUREZ
DS8.1 Repositorio y Linea Base de Configuracion Definido
DS8.2 Identificacion y Mantenimiento de Elementos de Configuracion Administrado y Medible
Direct
or Eje
cutiv
o (CEO)
Direct
or Fin
ancie
ro (C
FO)
Ejecu
tivos d
el nego
cio
Direct
or de In
form
ática
Dueño del p
roce
so d
e nego
cio
Jefe
de o
peracio
nes
Arquite
cto e
n jefe
Jefe
de d
esarro
llo
Jefe
de ad
min
istra
ción d
e TI
Funció
n de ad
min
istra
ción d
e pro
yect
os(PM
O)
Cumplim
iento
, audito
ría, r
iesg
o y se
gurid
ad
MATRIZ RACIDesarrollar procedimientos de planeación de administración de la configuración C A C I C C R R Responsable
C C C I A/R A Quien debe rendir cuentas
I A I I A/R C Quien debe ser consultado
R R R I A/R I Quien debe ser informado
P Facilitador primario
S Facilitador secundario
PROCESOSME1. Monitorear y Evaluar el Desempeño de TI
Desarrollar procedimientos de planeación de administración de la configuración
Recopilar información sobre la configuración inicial y establece líneas base
Verificar y auditar la información de la configuración.
Actualizar el repositorio de la configuración
MONITOREAR Y EVALUAR
Efect
ivid
ad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabili
dad
Aplicacio
nes
Info
rmació
n
Infra
estru
ctura
Personas
P P S S S P S * * * *
El grado de satisfacción tanto de la gerencia como de los clientes, con respecto a los servicios de información para identificar deficiencias del servicio.
MATRIZ RACI
ME1.4 Evaluación del Desempeño Inicial / Ad hoc
ME1.5 Reportes al Consejo Directivo y a Ejecutivos Repetible pero Intuitivo
ME1.6 Acciones Correctivas Inicial / Ad hoc
Y se mide con
El número de acciones correctivas que aplico la gerencia para mejorar el desempeño.
OBJETIVOS DE CONTROL MODELO DE MADUREZ
ME1.1 Enfoque del Monitoreo Inicial / Ad hoc
ME1.2 Definición y Recolección de Datos de Monitoreo Inicial / Ad hoc
ME1.3 Método de Monitoreo Repetible pero Intuitivo
Que satisface el requerimimiento del negocio de TI para
Asegurar el logro de los objetivos establecidos para los procesos de Ti; proporcionar reportes e
indicadores de desempeño gerenciales.
Enfocándose en
Método de monitoreo de los procesos del negocio; realizar una evaluación del desempeño laboral e
implementar acciones correctivas para corregir las debilidades identificadas en el negocio.
Se logra con
Traducir los indicadores de las claves de desempeño y de factores criticos de éxito a Reportes Gerenciales.
Comparar los indicadores de desempeño con los objetivos propuestos para evaluar el desempeño de los procesos de la organización.
Control sobre el proceso de TI de
Monitorear y Evaluar el Desempeño de TI.
Gerente
Genera
l
Socio
Presid
ente
Asiste
ncia T
écnica
Jefe
de C
omerc
ializ
ació
n
Diseñad
or
Contador
Progr
amad
or
MATRIZ RACIMonitorear y medir los procesos de TI. I I R
C I R R Responsable
I I R A Quien debe rendir cuentas
C I R A C Quien debe ser consultado
R I Quien debe ser informado
C C R A
Monitorear y medir los procesos de TI.
Evaluar el desempeño de los procesos de TI.
Determinación de acciones correctivas
Identificar mejoras y planes de acción
Revisar las necesidades de actualización de los procesos de TIC
Establecer objetivos de mejoramiento para garantizar el avance de la organización.
ME2. Monitorear y Evaluar el Control Interno
Efect
ivid
ad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabili
dad
Aplicacio
nes
Info
rmació
n
Infra
estru
ctura
Personas
P S S S * * * *
Control sobre el proceso de TI de
Monitorear y Evaluar el Control Interno
el éxito de la seguridad operacional y del control interno
Evaluación del desempeño organizacional en comparación con las metas establecidas en la organización.
MATRIZ RACI
ME2.6 Control Interno para terceros No existe
ME2.7 Acciones Correctivas Repetible pero Intuitivo
ME2.1 Monitoreo del Marco de trabajo de Control Interno Repetible pero Intuitivo
ME2.2 Revisiones de Auditoria Inicial / Ad hoc
ME2.3 Excepciones de Control Repetible pero Intuitivo
ME2.4 Control de Auto-evaluación Inicial / Ad hoc
ME2.5 Aseguramiento del Control Interno No existe
La monitorización de la efectividad de los controles internos según las actividades administrativas y de supervisión.
Se logra con
Evaluación de la efectividad y la correspondiente emisión del reporte.
Y se mide con
El número de acciones correctivas aplicadas sobre problemas de control interno.
El resultado de la autoevaluación de control realizada.
El grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento.
La recolección de datos de monitoreo del control interno
OBJETIVOS DE CONTROL MODELO DE MADUREZ
Que satisface el requerimimiento del negocio de TI para
Garantizar el alcance de los objetivos de los procesos de TI, cumplir con las politicas y procedimientos establecidos para el
desarrollo de las actividades.
Enfocándose en
Monitorear el marco de trabajo del control interno, e identificar las acciones de mejoramiento que garanticen el
Gerente
Genera
l
Socio
Presid
ente
Asiste
ncia T
écnica
Jefe
de C
omerc
ializ
ació
n
Diseñad
or
Contador
Progr
amad
or
MATRIZ RACIMonitorear las actividades de control interno de TI I R A A
A I R
A I R R Responsable
I I R A Quien debe rendir cuentas
I I R A C Quien debe ser consultado
R A A I Quien debe ser informado
I I R
C R A A
R R
R R R R
Monitorear las actividades de control interno de TI
Realizar auditoria de la gerencia de TI.
Reporte de auditoria interna y externa.
Reporte de las actividades de la función de servicios de información
Reportes de las acciones administrativas sobre problemas de control interno.
Evaluar el control de gerencia sobre los procesos, políticas y contratos de TI.
Identificar acciones correctivas y de mejoramiento.
Revisión del control interno real contra lo planeado en todas las áreas de función.
Revisar la existencia de puntos vulnerables y problemas de seguridad.
Asegurar que TI cumple con la legislación, regulación y contratos.
ME3. Garantizar el Cumplimiento Regulatorio
Efect
ivid
ad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabili
dad
Aplicacio
nes
Info
rmació
n
Infra
estru
ctura
Personas
P P S * * * *
MATRIZ RACI
ME3.3 Evaluación del Cumplimiento con Requerimientos Expertos Inicial / Ad hoc
ME3.4 Aseguramiento Positivo del Cumplimiento No existe
ME3.5 Reportes Integrados Inicial / Ad hoc
Número de acciones correctivas para resolver incumplimiento de leyes/requerimientos regulatorios.
Tiempo máximo entre la identificación del problema de incumplimiento regulatorio hasta su absoluta solución.
Número de revisiones de cumplimiento de leyes.
Reestructuración de procesos, procedimientos y estandares para el cumplimiento regulatorio.
OBJETIVOS DE CONTROL MODELO DE MADUREZ
ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y cumplimientos Contraactuales Inicial / Ad hoc
ME3.2 Optimizar la Respuesta a Requerimientos Externos Inicial / Ad hoc
La certificación o acreditación independiente de seguridad evitando aplicar medidas que resulten críticas.
Asegurar el cumplimiento ajustandose a los requerimientos regulatorios y legales.
Se logra con
La evaluación sobre la efectiviadad de los servicios de TI.
El cumplimiento de los compromisos contractuales de los servicios de TI.
Un monitoreo de TI del cumplimiento de las acciones regulatorias .
Aseguramiento positivo del cumplimiento.
Y se mide con
Control sobre el proceso de TI de
Garantizar el Cumplimiento Regulatorio
Que satisface el requerimimiento del negocio de TI para
Incrementar niveles de confianza entre la organización y clientes, aplicando las leyes y regulaciones de la organización.
Optimizar la respuesta a requerimientos regulatorios.
Enfocándose en
Gerente
Genera
l
Socio
Presid
ente
Asiste
ncia T
écnica
Jefe
de C
omerc
ializ
ació
n
Diseñad
or
Contador
Progr
amad
or
MATRIZ RACIDefinir procesos, procedimientos y estándares para el cumplimiento regulatorio. C C R C A R Responsable
R I C A A Quien debe rendir cuentas
I I R A R C Quien debe ser consultado
I I R R I Quien debe ser informado
Definir procesos, procedimientos y estándares para el cumplimiento regulatorio.
Aprobar y comunicar procesos, procedimientos y estandares.
Verificar el cumplumiento legal y regulatorio de las actividades de TI.
Generar reportes de cumplimientos con regulaciones y leyes.
ME4. Proporcionar Gobierno de TI
Efect
ivid
ad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Disponib
ilidad
Cumplim
iento
Confiabili
dad
Aplicacio
nes
Info
rmació
n
Infra
estru
ctura
Personas
P S P S * * * *
Introducción de responsabilidades de administración de posibles riesgos, minimizando los desastres en el negocio.
MATRIZ RACI
ME4.6 Medición de Desempeño Repetible pero Intuitivo
ME4.7 Aseguramiento Independiente No existe
ME4.1 Establecimiento de un Marco de Gobierno de TI No existe
ME4.2 Alineamiento Estratégico Inicial / Ad hoc
ME4.3 Entrega de Valor Repetible pero Intuitivo
ME4.4 Administración de Recursos Inicial / Ad hoc
ME4.5 Administración de Riesgos Repetible pero Intuitivo
Definir organismos de gobierno, tal que guien a gerencia hacie una orientación estratégica sobre las TI.
Revisar las acciones correctivas de la empresa.
Y se mide con
Número de reportes provenientes de TI el nivel gerencial de la organización.
Evaluación periódica de las iniciativas y operaciones de TI.
Frecuencia de evaluación de riesgos y su respectivo impacto en la organización.
OBJETIVOS DE CONTROL MODELO DE MADUREZ
Control sobre el proceso de TI de
Proporcionar Gobierno de TI
Que satisface el requerimimiento del negocio de TI para
Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en las mejores prácticas de implementación, para
cumplir con los objetivos de un gobierto de TI,cumpliendo con las leyes, regulaciones, ética y estandares profesionales.
Enfocándose en
Establecer un alineamiento estratégico, administración de los riesgos de TI, y la medición del desempeño.
Se logra con
Definir un marco de trabajo en un adecuado proceso de TI para asegurar el cumplimiento de la leyes.
Gerente
Genera
l
Socio
Presid
ente
Asiste
ncia T
écnica
Jefe
de C
omerc
ializ
ació
n
Diseñad
or
Contador
Progr
amad
or
MATRIZ RACIGenerar un informe para dar una visión completa del Entorno de Control y Gobierno
CI I A
R R R
I I R R Responsable
A Quien debe rendir cuentas
I I R C Quien debe ser consultado
I Quien debe ser informado
R R R I
I R I I
R I A A
I I R A
Revisar las acciones correctivas de Gerencia
Revisar el progreso de la empresa hacia las metas identificadas
Evaluar y reportar riesgos relacionados con TI y su impacto.
Generar un informe para dar una visión completa del Entorno de Control y Gobierno
Corporativo.
Responder los requerimientos de gobierno en linea con la dirección ejecutiva
Asegurar la transparencia y comprensión de costes de TI, beneficios, estrategias y
políticas.
Asegurar que TI demuestra la eficiencia de costes de la calidad de servicios, mejora
continua y cambios futuros.
Garantizar la conformidad de TI con la legislacion, regulación, estándares y políticas.
I
C
