Story Transcript
PO3-Determinar la Dirección Tecnológica PO4- Definir los procesos, la Organización y las Relaciones de TI PO5- Administrar la Inversión en TI PO6-Comunicar los Objetivos y Dirección de la Gerencia
DS2- Administrar los Servicios de Terceros DS3- Administrar el Desempeño y la Capacidad DS4- Garantizar la Continuidad del Servicio DS5- Garantizar la Seguridad de los Sistemas DS6- Identificar y Asignar Costos DS7- Educar y Capacitar a los Usuarios
PO7- Administrar los Recursos Humanos de TI
DS8- Administrar el Escritorio de Servicio y los Incidentes
PO8- Administrar la Calidad
DS9- Administrar la Configuración
PO9- Evaluar y Administrar los Riesgos de TI
CERTIFICADA CON ISO - 9001 / 2008
SUPERINTENDENCIA GENERAL DE ENTIDADES FINANCIERAS
PO2- Definir la Arquitectura de la Información
PO10- Administrar Proyectos AI1- Identificar Soluciones Automatizadas AI2- Adquirir y Mantener Software de Aplicación AI3- Adquirir y Mantener Infraestructura Tecnológica AI4- Habilitar la Operación y el Uso AI5- Adquirir Recursos de TI AI6- Administrar Cambios AI7- Instalar y Acreditar Soluciones y Cambios
DS10- Administración de Problemas DS11- Administración de Datos DS12- Administración del Ambiente Físico DS13- Administración de Operaciones ME1- Monitorear y Evaluar el Desempeño de TI ME2- Monitorear y Evaluar el Control Interno ME3- Asegurar el Cumplimiento Regulatorio ME4- Proveer Gobierno de TI Estado de Calificación
Matriz de Calificación
P01- Definir un Plan Estratégico de TI
DS1- Definir y Administrar los Niveles de Servicio
VERSIÓN 1.0
Información General
Matriz de Calificación Versión 1.0
Índice
Periodo de la Auditoría: Cedula jurídica de la entidad: Nombre de entidad: Responsable de la matriz de calificación: Puesto del responsable de la matriz de calificación: Teléfono del responsable de la matriz de calificación: E-mail del responsable de la matriz de calificación: Nombre del Auditor Externo: Firma donde labora Auditor: Número de CISA:
2 de 152
Información General
Matriz de Calificación
OBJETIVOS DE CONTROL PO1
Índice
PO 1 Definir un Plan Estratégico de TI
EVALUE CORRECTAMENTE EL PO 1.1 PO 1.1
Administración del valor de TI Si
PO 1.1.1
Se trabaja con el negocio para garantizar que el portafolio de TI de la empresa contenga programas con casos de negocio sólidos.
PO 1.1.2
Se tienen inversiones obligatorias, de sustento y discrecionales que difieren en complejidad y grado de libertad en cuanto a la asignación de fondos.
PO 1.1.3
Los procesos de TI proporcionan una entrega efectiva y eficiente de los componentes TI que forman parte de los programas y de las advertencias oportunas sobre las desviaciones del plan, que impacten los resultados esperados de los programas incluyendo: costo, cronograma o funcionalidad.
PO 1.1.4
Los servicios de TI se ejecutan contra acuerdos de niveles de servicios equitativos y exigibles.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
La rendición de cuentas de logro de los beneficios y del control de los costos es: PO 1.1.5 PO 1.1.6
1. Claramente asignada. 2. Claramente monitoreada. Se establece una evaluación de los casos del negocio que sea justa, transparente, repetible y comparable, incluyendo:
PO 1.1.7
1. El valor financiero.
PO 1.1.8
2. El riesgo de no cumplir con una capacidad.
PO 1.1.9
3. El riesgo de no materializar los beneficios esperados.
EVALUE CORRECTAMENTE EL PO 1.2 PO 1.2
Alineación de TI con el negocio Si
No
No Aplica
Se educa a los ejecutivos sobre: PO 1.2.1
1. Las capacidades tecnológicas actuales.
PO 1.2.2
2. El rumbo futuro.
PO 1.2.3
3. Las oportunidades que ofrece TI.
PO 1.2.4
4. Qué debe hacer el negocio para capitalizar esas oportunidades.
PO 1.2.5
Se asegura de que el rumbo del negocio del cual está alineado TI está bien entendido. Las estrategias del negocio y de TI están:
PO 1.2.6
1. Integradas, relacionando de manera clara las metas de la empresa y las metas de TI.
PO 1.2.7
2. Reconociendo las oportunidades, así como las limitaciones en la capacidad actual.
PO 1.2.8
PO1
3. Comunicadas de manera amplia.
PO 1.2.9
Se identifica las áreas en que el negocio (estrategia) depende de forma crítica de TI.
PO 1.2.10
Se da una mediación entre los imperativos del negocio y la tecnología, de tal modo que se puedan establecer prioridades concertadas.
3 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 1.3 PO 1.3
Evaluación del desempeño actual Si
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se evalúa el desempeño de los planes existentes en términos de su contribución a: PO 1.3.1
1. Los objetivos del negocio.
PO 1.3.2
2. La funcionalidad.
PO 1.3.3
3. La estabilidad.
PO 1.3.4
4. La complejidad.
PO 1.3.5
5. Los costos.
PO 1.3.6
6. Las fortalezas.
PO 1.3.7
7. Las debilidades. Se evalúa el desempeño de los sistemas de información existentes en términos de su contribución a:
PO 1.3.8
1. Los objetivos del negocio.
PO 1.3.9
2. La funcionalidad.
PO 1.3.10
3. La estabilidad.
PO 1.3.11
4. La complejidad.
PO 1.3.12
5. Los costos.
PO 1.3.13
6. Las fortalezas.
PO 1.3.14
7. Las debilidades.
EVALUE CORRECTAMENTE EL PO 1.4 PO 1.4
Plan estratégico de TI Si
PO 1.4.1 PO 1.4.2 PO 1.4.3
No
No Aplica
Se elabora un plan estratégico que defina, en cooperación con los interesados relevantes, cómo TI contribuirá a los objetivos estratégicos de la empresa (metas) así como los costos y riesgos relacionados. El plan estratégico incluye la forma en que TI dará soporte a los programas de inversión facilitados por TI y a la entrega de los servicios operacionales. El plan estratégico de TI define la forma en que los objetivos se cumplirán y medirán, asimismo la manera de cómo recibir la autorización formal de los interesados. El plan estratégico de TI incluye:
PO 1.4.4
1. El presupuesto de la inversión / operativo.
PO 1.4.5
2. Las fuentes de financiamiento.
PO 1.4.6
3. Las estrategias de abastecimiento (suministros).
PO 1.4.7
4. La estrategia de adquisición.
PO 1.4.8
5. Los requerimientos legales.
PO 1.4.9 PO 1.4.10
PO1
6. Los requerimientos regulatorios. El plan estratégico es lo suficientemente detallado para permitir la definición de planes tácticos de TI
4 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 1.5 PO 1.5
Planes tácticos de TI Si
PO 1.5.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se crea un portafolio de planes tácticos de TI que se deriven del plan estratégico de TI Los planes tácticos describen:
PO 1.5.2
1. Las iniciativas y requerimientos de recursos de TI.
PO 1.5.3
2. Cómo el uso de los recursos y el logro de los beneficios es supervisado.
PO 1.5.4 PO 1.5.5 PO 1.5.6
PO 1.5.7
3. Cómo el uso de los recursos y el logro de los beneficios es administrado. Los planes tácticos tienen el detalle suficiente para permitir la definición de planes de proyectados. Los planes tácticos y las iniciativas de TI establecidas por medio del análisis de los portafolios de proyectos y de servicios se administran de forma activa. La administración de los planes tácticos incluye el balance de los requerimientos y recursos de forma regular, comparándolos con el logro de metas estratégicas y tácticas, así como con los beneficios esperados, tomando las medidas necesarias en caso de desviaciones.
EVALUE CORRECTAMENTE EL PO 1.6 PO 1.6
Administración del portafolio de TI Si
PO 1.6.1
No
No Aplica
Se administra de forma activa, junto con el negocio, el portafolio de inversión de TI requerido para lograr objetivos de negocio estratégicos específicos por medio de la identificación, definición, evaluación, asignación de prioridades, selección, inicio, administración y control de los programas. El portafolio de TI incluye:
PO1
PO 1.6.2
1. La descripción de los resultados deseados del negocio.
PO 1.6.3
2. La garantía de que los objetivos de los programas den soporte al logro de los resultados.
PO 1.6.4
3. El entendimiento el alcance completo del esfuerzo requerido para lograr los resultados.
PO 1.6.5
4. La definición de una rendición de cuentas clara con medidas de soporte.
PO 1.6.6
5. La definición de proyectos dentro del programa.
PO 1.6.7
6. La asignación de recursos y financiamiento.
PO 1.6.8
7. La delegación de autoridad.
PO 1.6.9
8. El licenciamiento de los proyectos requeridos al momento de lanzar el programa.
5 de 152
Matriz de Calificación
NIVELES DE MADUREZ PO1
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO1 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO1 NM 1.1
La gerencia de TI conoce la necesidad de una planeación estratégica de TI.
PO1 NM 1.2
La planeación de TI se realiza según se necesite como respuesta a un requisito de negocio específico.
PO1 NM 1.3
La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia de TI.
PO1 NM 1.4
La alineación de los requerimientos de las aplicaciones y tecnología del negocio se lleva a cabo de modo reactivo en lugar de hacerlo por medio de una estrategia organizacional.
PO1 NM 1.5
La posición de riesgo estratégico se identifica de manera informal proyecto por proyecto.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO1 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO1 NM 2.1
La planeación estratégica de TI se comparte con la administración del negocio según se necesite.
PO1 NM 2.2
La actualización de los planes de TI ocurre como respuesta a las solicitudes de la dirección.
PO1 NM 2.3
Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización.
PO1 NM 2.4
Los riesgos y beneficios al usuario, resultado de decisiones estratégicas importantes se reconocen de forma intuitiva.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO1 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO1
PO1 NM 3.1
Una política define cómo y cuando realizar la planeación estratégica de TI.
PO1 NM 3.2
La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo.
PO1 NM 3.3
El proceso de planeación de TI es razonablemente sólido y garantiza que es factible realizar una planeación adecuada.
PO1 NM 3.4
Se otorga discrecionalidad a gerentes individuales específicos con respecto a la implementación del proceso, y no se dispone de procedimientos para analizar el proceso.
PO1 NM 3.5
La estrategia general de TI incluye una definición consistente de los riesgos que la organización está dispuesta a tomar como innovador o como seguidor.
PO1 NM 3.6
Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías.
PO1 NM 3.7
La planeación estratégica de TI se discute en reuniones de la dirección del negocio.
No
Nivel Superior
6 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO1 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO1 NM 4.1
La planeación estratégica de TI es una práctica estándar y las excepciones son advertidas por la dirección.
PO1 NM 4.2
La planeación estratégica de TI es una función administrativa definida con responsabilidades de alto nivel.
PO1 NM 4.3
La dirección puede monitorear el proceso estratégico de TI, tomar decisiones informadas con base en el plan y medir su efectividad.
PO1 NM 4.4 PO1 NM 4.5 PO1 NM 4.6
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
La planeación de TI de corto y largo plazo sucede y se distribuye en forma de cascada hacia la organización, y las actualizaciones se realizan según sean necesarias. La estrategia de TI y la estrategia organizacional son coordinadas al abordar procesos de negocio y capacidades de valor agregado y al apalancar el uso de aplicaciones y tecnologías por medio de la re-ingeniería de procesos de negocio. Se establecen procesos bien definidos para determinar el uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas.
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO1 NM 5
Nivel de Madurez 5 - Optimizado Si
PO1 NM 5.1 PO1 NM 5.2 PO1 NM 5.3 PO1 NM 5.4 PO1 NM 5.5
PO1
No
Nivel Superior
El proceso documentado y vivo de la planeación estratégica de TI se toma en cuenta en el establecimiento de las metas del negocio y da como resultado un valor observable de negocios por medio de las inversiones en TI. Las consideraciones de riesgo y de valor agregado se actualizan de modo constante en el proceso de planeación estratégica de TI. Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio. Se realizan evaluaciones por comparación contra normas industriales bien entendidas y confiables y se integran con el proceso de formulación de la estrategia. El plan estratégico incluye cómo los nuevos avances tecnológicos pueden impulsar creación de nuevas capacidades de negocio y mejorar la ventaja competitiva de la organización.
7 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL PO2
Índice
PO 2 Definir la Arquitectura de la Información
EVALUE CORRECTAMENTE EL PO 2.1 PO 2.1
Modelo de arquitectura de información empresarial Si
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
El modelo de arquitectura de información empresarial: PO 2.1.1
1. Se establece.
PO 2.1.2
2. Se mantiene.
PO 2.1.3
PO 2.1.4
3. Facilita el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como se describen en P01. 4. Facilita la creación, el uso y la forma de compartir óptimamente la información por parte del negocio, de forma que conserve la integridad, flexibilidad, funcionalidad, rentabilidad, oportunidad, seguridad y tolerante a fallas.
EVALUE CORRECTAMENTE EL PO 2.2 PO 2.2
Diccionario de datos empresarial y reglas de sintaxis de los datos Si
PO 2.2.1
Se mantiene un diccionario de datos empresarial que incluya las reglas de sintaxis de datos de la organización.
PO 2.2.2
El diccionario facilita la manera de compartir los elementos de datos entre las aplicaciones y los sistemas.
PO 2.2.3
El diccionario fomenta un entendimiento común de datos entre los usuarios de TI y del negocio, y previene la creación de elementos de datos incompatibles.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 2.3 PO 2.3
Esquema de clasificación de datos Si
PO 2.3.1
No
No Aplica
Se establece un esquema de clasificación que aplique a toda la empresa, basado en que tan crítica y sensible es la información (esto es, pública, confidencial, secreta) de la empresa. El esquema de clasificación de datos incluye detalles acerca de:
PO 2.3.3
1. La propiedad de datos.
PO 2.3.4
2. La definición de niveles apropiados de seguridad y de controles de protección.
PO 2.3.5
3. Una breve descripción de los requerimientos de retención y destrucción de datos.
PO 2.3.6
4. La criticidad y sensibilidad de los datos.
PO 2.3.7
El esquema de clasificación de datos se usa como base para aplicar controles como el control de acceso, archivo o encripción.
EVALUE CORRECTAMENTE EL PO 2.4 PO 2.4
Administración de la integridad Si
PO 2.4.1
PO2
No
No Aplica
Se ha definido e implementado procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrónico, tales como bases de datos, almacenes de datos y archivos.
8 de 152
Matriz de Calificación
NIVELES DE MADUREZ PO2
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO2 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO2 NM 1.1
La administración reconoce la necesidad de una arquitectura de información.
PO2 NM 1.2
El desarrollo de algunos de los componentes de una arquitectura de información ocurre de manera ad hoc
PO2 NM 1.3
Las definiciones abarcan datos en lugar de información, y son impulsadas por ofertas de proveedores de software aplicativo.
PO2 NM 1.4
Se tiene una comunicación esporádica e inconsistente de la necesidad de una arquitectura de información.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO2 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO2 NM 2.1
Surge un proceso de arquitectura de información y se tienen procedimientos similares, aunque intuitivos e informales, que se siguen por distintos individuos dentro de la organización.
PO2 NM 2.2
Las persona obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas.
PO2 NM 2.3
Los requerimientos tácticos impulsan el desarrollo de los componentes de la arquitectura de la información por parte de los individuos.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO2 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO2 NM 3.1
La importancia de la arquitectura de la información se entiende y se acepta, y la responsabilidad de su aplicación se asigna y se comunica de forma clara.
PO2 NM 3.2
Los procedimientos, herramientas y técnicas relacionados, aunque no son sofisticados, se han estandarizado y documentado y son parte de actividades informales de capacitación.
PO2 NM 3.3
PO2 NM 3.4
PO2
No
Nivel Superior
Se han desarrollado políticas básicas de arquitectura de información, incluyendo algunos requerimientos estratégicos, aunque el cumplimiento de políticas, estándares y herramientas no se refuerza de manera consistente. Se dispone una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información.
PO2 NM 3.5
Las herramientas automatizadas se empiezan a utilizar, aunque los procesos y reglas son definidos por los proveedores de software de bases de datos.
PO2 NM 3.6
Se definen, documentan y aplican consistentemente actividades formales de capacitación.
9 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO2 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO2 NM 4.1
Se da soporte completo al desarrollo e implementación de la arquitectura de información por medio de métodos y técnicas formales.
PO2 NM 4.2
La responsabilidad sobre el desempeño del proceso de desarrollo de la arquitectura se refuerza y se mide el éxito de la arquitectura de información.
PO2 NM 4.3
Las herramientas automatizadas de soporte están ampliamente generalizadas, pero todavía no están integradas.
PO2 NM 4.4
Se han identificado métricas básicas y se dispone de un sistema de medición.
PO2 NM 4.5
El proceso de definición de la arquitectura de información es proactivo y se enfoca en resolver necesidades futuras del negocio.
PO2 NM 4.6
La organización de administración de datos está activamente involucrada en todos los esfuerzos de desarrollo de las aplicaciones, para garantizar la consistencia.
PO2 NM 4.7
Un repositorio automatizado está totalmente implementado.
PO2 NM 4.8
Se encuentran en implementación modelos de datos más complejos para aprovechar el contenido informativo de la base de datos.
PO2 NM 4.9
Los sistemas de información ejecutiva y los sistemas de soporte a la toma de decisiones aprovechan la información existente.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO2 NM 5
Nivel de Madurez 5 - Optimizado Si
PO2
PO2 NM 5.1
La arquitectura de información es reforzada de forma consistente a todos los niveles.
PO2 NM 5.2
El valor de la arquitectura de la información para el negocio se enfatiza de forma continua.
PO2 NM 5.3
El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio.
PO2 NM 5.4
La información provista por la arquitectura se aplica de modo consistente y amplio.
PO2 NM 5.5
Se hace un uso amplio de las mejores prácticas de la industria en el desarrollo y mantenimiento de la arquitectura de información incluyendo un proceso de mejora continua.
PO2 NM 5.6
La estrategia para el aprovechamiento de la información por medio de tecnologías de un almacén de datos y tecnologías de minería de datos está bien definida.
PO2 NM 5.7
La arquitectura de la información se encuentra en mejora continua y toma en cuenta información no tradicional sobre los procesos, organizaciones y sistemas.
No
10 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL PO3
Índice
PO 3 Determinar la Dirección Tecnológica
EVALUE CORRECTAMENTE EL PO 3.1 PO 3.1
Planeación de la dirección tecnológica Si
PO 3.1.1
Se analiza las tecnologías existentes y emergentes.
PO 3.1.2
Se planea cual dirección tecnológica es apropiada tomar para materializar la estrategia de TI y la arquitectura de sistemas del negocio.
PO 3.1.3
Se identifica en el plan qué tecnologías tienen el potencial de crear oportunidades del negocio.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
El plan abarca: PO 3.1.4
1. La arquitectura de sistemas.
PO 3.1.5
2. La dirección tecnológica.
PO 3.1.6
3. Las estrategias de migración.
PO 3.1.7
4. Los aspectos de contingencia de los componentes de la infraestructura.
EVALUE CORRECTAMENTE EL PO 3.2 PO 3.2
Plan de infraestructura tecnológica Si
No
No Aplica
El plan de infraestructura tecnológica: PO 3.2.1
1. Se elabora.
PO 3.2.2
2. Se mantiene.
PO 3.2.3
3. Está de acuerdo con el plan estratégico de TI.
PO 3.2.4
4. Está de acuerdo con el plan táctico de TI.
PO 3.2.5
5. Se basa en la dirección tecnológica. El plan incluye:
PO 3.2.6
1. Los acuerdos para contingencias.
PO 3.2.7
2. La orientación para la adquisición de los recursos tecnológicos.
PO 3.2.8
3. Los cambios en el ambiente competitivo.
PO 3.2.9
4. Las economías de escalas en la obtención de equipo de sistemas de información.
PO 3.2.10
5. La mejora en la interoperabilidad de las plataformas y aplicaciones.
EVALUE CORRECTAMENTE EL PO 3.3 PO 3.3
Monitoreo de tendencias y regulaciones futuras Si
No
No Aplica
Se establece un proceso para monitorear las tendencias: PO 3.3.1
1. Del sector / industria
PO 3.3.2
2. De las tecnológicas.
PO 3.3.3
3. De la infraestructura.
PO 3.3.4 PO 3.3.5
PO3
4. Legales y regulatorias. En el desarrollo del plan de infraestructura tecnológica de TI se incluye las consecuencias de estas tendencias.
11 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 3.4 PO 3.4
Estándares tecnológicos Si
PO 3.4.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se proporciona soluciones tecnológicas consistentes, efectivas y seguras para toda la empresa. Se establece un foro tecnológico para:
PO 3.4.2
1. Brindar directrices tecnológicas.
PO 3.4.3
2. Asesorar sobre los productos de la infraestructura.
PO 3.4.4
3. Guiar sobre la selección de la tecnología.
PO 3.4.5
Se mide el cumplimiento de estos estándares y directrices.
PO 3.4.6
El foro impulsa los estándares y las prácticas tecnológicas con base en su importancia y riesgo para el negocio, así como en el cumplimiento de requerimientos externos.
EVALUE CORRECTAMENTE EL PO 3.5 PO 3.5
Consejo de arquitectura. Si
PO 3.5.1
No
No Aplica
Se establece un consejo de arquitectura de TI que proporciona directrices sobre la arquitectura y asesoría de su aplicación, y que verifica el cumplimiento. El consejo de arquitectura:
PO 3.5.2
1. Orienta el diseño de la arquitectura de TI.
PO 3.5.3
2. Garantiza que facilite la estrategia del negocio.
PO 3.5.4
3. Toma en cuenta el cumplimiento regulatorio y requerimientos de continuidad.
PO 3.5.5
PO3
Los aspectos del consejo de arquitectura se vinculan con la arquitectura de la información
12 de 152
Matriz de Calificación
NIVELES DE MADUREZ PO3
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO3 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO3 NM 1.1
La administración reconoce la necesidad de planear la infraestructura tecnológica.
PO3 NM 1.2
El desarrollo de componentes tecnológicos y la implementación de tecnologías emergentes son ad hoc y aisladas.
PO3 NM 1.3
Se tiene un enfoque reactivo y con foco operativo hacia la planeación de la infraestructura.
PO3 NM 1.4
La dirección de tecnología está impulsada por los planes evolutivos, con frecuencia contradictorios, del hardware, software de sistemas y de los proveedores de software aplicativo.
PO3 NM 1.5
La comunicación del impacto potencial de los cambios en la tecnología es inconsistente.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO3 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO3 NM 2.1
Se difunde la necesidad e importancia de la planeación tecnológica.
PO3 NM 2.2
La planeación es táctica y se enfoca en generar soluciones técnicas a problemas técnicos, en lugar de usar la tecnología para satisfacer las necesidades del negocio.
PO3 NM 2.3
La evaluación de los cambios tecnológicos se delega a individuos que siguen procesos intuitivos, aunque similares
PO3 NM 2.4
Las personas obtienen sus habilidades sobre planeación tecnológica a través de un aprendizaje práctico y de una aplicación repetida de las técnicas.
PO3 NM 2.5
Están surgiendo técnicas y estándares comunes para el desarrollo de componentes de la infraestructura.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO3 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO3
PO3 NM 3.1
La administración está consciente de la importancia del plan de infraestructura tecnológica.
PO3 NM 3.2
El proceso para el plan de infraestructura tecnológica es razonablemente sólido y está alineado con el plan estratégico de TI.
PO3 NM 3.3
Se tiene un plan de infraestructura tecnológica definido, documentado y bien difundido, aunque se aplica de forma inconsistente.
PO3 NM 3.4
La orientación de la infraestructura tecnológica incluye el entendimiento de dónde la empresa desea ser líder y dónde desea rezagarse respecto al uso de tecnología, con base en los riesgos y en la alineación con la estrategia organizacional
PO3 NM 3.5
Los proveedores clave se seleccionan con base en su entendimiento de la tecnología a largo plazo y de los planes de desarrollo de productos, de forma consistente con la dirección de la organización.
No
Nivel Superior
13 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO3 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO3 NM 4.1
La dirección garantiza el desarrollo del plan de infraestructura tecnológica.
PO3 NM 4.2
El equipo de TI cuenta con la experiencia y las habilidades necesarias para desarrollar un plan de infraestructura tecnológica.
PO3 NM 4.3
El impacto potencial de las tecnologías cambiantes y emergentes se toma en cuenta.
PO3 NM 4.4
La dirección puede identificar las desviaciones respecto al plan y anticipar los problemas.
PO3 NM 4.5
La responsabilidad del desarrollo y mantenimiento del plan de infraestructura tecnológica ha sido asignada.
PO3 NM 4.6
El proceso para desarrollar el plan de infraestructura tecnológica es sofisticado y sensible a los cambios.
PO3 NM 4.7
Se han incluido buenas prácticas internas en el proceso.
PO3 NM 4.8
La estrategia de recursos humanos está alineada con la dirección tecnológica, para garantizar que el equipo de TI pueda administrar los cambios tecnológicos.
PO3 NM 4.9
Los planes de migración para la introducción de nuevas tecnologías están definidos.
PO3 NM 4.10
Los recursos externos y las asociaciones se aprovechan para tener acceso a la experiencia y a las habilidades necesarias.
PO3 NM 4.11
La dirección ha evaluado la aceptación del riesgo de usar la tecnología como líder, o rezagarse en su uso, para desarrollar nuevas oportunidades de negocio o eficiencias operativas.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO3 NM 5
Nivel de Madurez 5 - Optimizado Si
PO3
PO3 NM 5.1
Se dispone la función de investigación que revisa las tecnologías emergentes y evolutivas y para evaluar la organización por comparación contra las normas industriales.
PO3 NM 5.2
La dirección del plan de infraestructura tecnológica está impulsada por los estándares y avances industriales e internacionales, en lugar de estar orientada por los proveedores de tecnología.
PO3 NM 5.3
El impacto potencial de los cambios tecnológicos sobre el negocio se revisa al nivel de la alta dirección.
PO3 NM 5.4
Se dispone de la aprobación ejecutiva formal para el cambio de la dirección tecnológica o para adoptar una nueva.
PO3 NM 5.5
La entidad ha establecido un plan robusto de infraestructura tecnológica que refleja los requerimientos del negocio, es sensible a los cambios en el ambiente del negocio y puede reflejarlos.
PO3 NM 5.6
Se ha establecido un proceso continuo y reforzado para mejorar el plan de infraestructura tecnológica.
PO3 NM 5.7
Las mejores prácticas de la industria se usan de forma amplia para determinar la dirección técnica.
No
14 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL PO4
Índice
PO 4 Definir los procesos, la Organización y las Relaciones de TI
EVALUE CORRECTAMENTE EL PO 4.1 PO 4.1
Marco de trabajo del proceso Si
PO 4.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se ha definido un marco de trabajo para el proceso de TI para ejecutar el plan estratégico de TI. Este marco de trabajo incluye:
PO 4.1.2
1. La estructura y relaciones de procesos de TI (administrando brechas y superposiciones de procesos).
PO 4.1.3
2. La propiedad.
PO 4.1.4
3. La medición del desempeño
PO 4.1.5
4. Las mejoras.
PO 4.1.6
5. El cumplimiento.
PO 4.1.7
PO 4.1.8
6. Las metas de calidad y planes para alcanzarlas. El marco de trabajo proporciona integración entre los procesos que son específicos para TI, administración del portafolio de TI, procesos de negocio y procesos de cambio del negocio. El marco de trabajo está integrado con:
PO 4.1.9
1. Un sistema de administración de calidad.
PO 4.1.10
2. Un marco de trabajo de control interno.
EVALUE CORRECTAMENTE EL PO 4.2 PO 4.2
Comité estratégico Si
PO 4.2.1
Se ha establecido un comité estratégico de TI a nivel del consejo directivo.
PO 4.2.2
El comité garantiza que el gobierno de TI, como parte del gobierno corporativo, se maneja de forma adecuada, asesora sobre la dirección estratégica y revisa las inversiones principales a nombre del consejo directivo.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 4.3 PO 4.3
Comité directivo (Steering Committee) Si
PO 4.3.1
No
No Aplica
Se ha establecido un comité directivo de TI (o su equivalente) compuesto por la administración ejecutiva, del negocio y de TI. El comité directivo de TI:
PO4
PO 4.3.2
1. Determina las prioridades de los programas de inversión de TI alineadas con la estrategia y prioridades de negocio de la empresa.
PO 4.3.3
2. Da seguimiento al estado de los proyectos y resuelve los conflictos de recursos.
PO 4.3.4
3. Monitorea los acuerdos de niveles de servicio (SLA) y las mejoras del servicio
15 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 4.4 PO 4.4
Ubicación organizacional de la función de TI Si
PO 4.4.1
Se ubica a la función de TI dentro de la estructura organizacional.
PO 4.4.2
Se ha definido un modelo de negocios supeditado a la importancia de TI dentro de la empresa, (en especial en función de que tan crítica es para la estrategia del negocio y el nivel de dependencia operativa sobre TI).
PO 4.4.3
La línea de reporte del director de TI (CIO) es proporcional con la importancia de TI dentro de la empresa
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL PO 4.5 PO 4.5
Estructura organizacional Si
PO 4.5.1
Se ha establecido una estructura organizacional de TI interna y externa que refleje las necesidades del negocio.
PO 4.5.2
Se implementa un proceso para revisar la estructura organizacional de TI de forma periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos de negocio esperados y las circunstancias cambiantes.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 4.6 PO 4.6
Roles y responsabilidades Si
PO 4.6.1
Se define y comunica los roles y las responsabilidades para todo el personal en la organización en relación a los sistemas de información.
PO 4.6.2
La definición y la comunicación permite que ejerzan los roles y responsabilidades asignados con suficiente autoridad.
PO 4.6.3
Se establece y actualiza periódicamente la descripción de roles.
PO 4.6.4
Las descripciones deben estar alineadas con la responsabilidad y autoridad, incluyendo definiciones de habilidades y experiencias necesarias en cada posición y que serán aplicables en el uso y evaluación del desempeño.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 4.7 PO 4.7
Responsabilidad de aseguramiento de calidad de TI Si
PO 4.7.1
No
No Aplica
Se asigna la responsabilidad para el desempeño de la función de aseguramiento de calidad. Se proporciona al grupo de aseguradores de TI:
PO 4.7.2
1. Los sistemas de aseguramiento de calidad apropiado.
PO 4.7.3
2. Los controles de aseguramiento de la calidad.
PO 4.7.4
3. Las habilidades de comunicación (personal con habilidades de comunicación).
PO 4.7.5
PO4
La ubicación organizacional, las responsabilidades y el tamaño del grupo de aseguramiento de calidad satisfacen los requerimientos de la organización
16 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 4.8 PO 4.8
Responsabilidad sobre el riesgo, la seguridad y el cumplimiento Si
PO 4.8.1
Se incluye la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior (senior).
PO 4.8.2
Se define y asigna roles críticos para administrar los riesgos de TI.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Los roles críticos incluyen: PO 4.8.3
1. La responsabilidad específica de la seguridad de la información.
PO 4.8.4
2. La seguridad física.
PO 4.8.5
3. El cumplimiento.
PO 4.8.6
Se establece la responsabilidad sobre la administración del riesgo y la seguridad a nivel de la empresa para manejar los problemas organizacionales.
PO 4.8.7
Se asignan responsabilidades adicionales de administración de la seguridad a nivel de sistema específico para manejar problemas relacionados con seguridad.
PO 4.8.8
La alta dirección orienta respecto al apetito del riesgo de TI y aprueba cualquier riesgo residual de TI.
EVALUE CORRECTAMENTE EL PO 4.9 PO 4.9
Propiedad de datos y de sistemas Si
PO 4.9.1
Se proporciona al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información.
PO 4.9.2
Los propietarios toman decisiones sobre la clasificación de la información y de los sistemas, sobre cómo protegerlos de acuerdo a esta clasificación.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 4.10 PO 4.10
Supervisión Si
No
No Aplica
Se implementan prácticas adecuadas de supervisión dentro de la función de TI para: PO 4.10.1
1. Garantizar que los roles y responsabilidades se ejerzan de forma apropiada.
PO 4.10.2
2. Evaluar si el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades.
PO 4.10.3
3. Revisar los indicadores claves de desempeño.
EVALUE CORRECTAMENTE EL PO 4.11 PO 4.11
Segregación de funciones Si
PO4
PO 4.11.1
Se implementa una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crítico.
PO 4.11.2
La administración asegura que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas.
No
No Aplica
17 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 4.12 PO 4.12
Personal de TI Si
PO 4.12.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se evalúa los requerimientos de personal de forma regular o cuando existan cambios importantes en el ambiente de negocios, operativo o de TI para garantizar que la función de TI cuente con un número suficiente de personal competente. El proceso de dotación de personal toma en cuenta:
PO 4.12.2
1. La ubicación de personal de negocios / TI.
PO 4.12.3
2. La capacitación funcional cruzada.
PO 4.12.4
3. La rotación de puestos.
PO 4.12.5
4. Las oportunidades de personal externo.
EVALUE CORRECTAMENTE EL PO 4.13 PO 4.13
Personal clave de TI Si
PO 4.13.1
Se define e identifica el personal clave de TI.
PO 4.13.2
Se minimiza la dependencia excesiva en ellos.
PO 4.13.3
Se tiene un plan para contactar al personal clave de TI en caso de emergencia.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 4.14 PO 4.14
Políticas y procedimientos para personal contratado Si
No
No Aplica
Se definen e implementan políticas y procedimientos para el personal contratado que: PO 4.14.1
1. Controlen las actividades de los consultores y otro personal contratado por la función de TI.
PO 4.14.2
2. Garanticen la protección de los activos de información de la empresa.
PO 4.14.3
3. Estén de acuerdo con los requerimientos contractuales.
EVALUE CORRECTAMENTE EL PO 4.15 PO 4.15
Relaciones Si
PO 4.15.1
PO4
No
No Aplica
Se establece y mantiene una estructura de enlace, comunicación y coordinación óptima entre la función de TI y otros interesados dentro y fuera de la función de TI, tales como el consejo directivo, ejecutivos, unidades de negocio, usuarios individuales, proveedores, oficiales de seguridad, gerentes de riesgo, el grupo corporativo de cumplimiento, los contratistas externos y la administración externa (offsite).
18 de 152
Matriz de Calificación
NIVELES DE MADUREZ PO4
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO4 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO4 NM 1.1
Las actividades y funciones de TI son reactivas y se implementan de forma inconsistente.
PO4 NM 1.2
El área de TI se involucra en los proyectos solamente en las etapas finales.
PO4 NM 1.3
La función de TI se considera como una función de soporte, sin una perspectiva organizacional general.
PO4 NM 1.4
Se tiene un entendimiento explícito de la necesidad de una organización de TI; sin embargo, los roles y las responsabilidades no están formalizados ni reforzados.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO4 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO4 NM 2.1
La función de TI está organizada para responder de forma táctica aunque de forma inconsistente, a las necesidades de los clientes y a las relaciones con los proveedores.
PO4 NM 2.2
La necesidad de contar con una organización estructurada y una administración de proveedores se comunica, pero las decisiones todavía dependen del conocimiento y habilidades de individuos clave.
PO4 NM 2.3
Surgen técnicas comunes para administrar la organización de TI y las relaciones con los proveedores.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO4 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO4
PO4 NM 3.1
Se cuentan roles y responsabilidades definidos para la organización de TI y para terceros.
PO4 NM 3.2
La organización de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI.
PO4 NM 3.3
Se define el ambiente de control interno.
PO4 NM 3.4
Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores.
PO4 NM 3.5
La organización de TI está funcionalmente completa.
PO4 NM 3.6
Se establecen definiciones de las funciones a ser realizadas por parte del personal de TI y las que deben realizar los usuarios.
PO4 NM 3.7
Los requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos.
PO4 NM 3.8
Se cuenta con una definición formal de las relaciones con los usuarios y con terceros.
PO4 NM 3.9
La división de roles y responsabilidades está definida e implementada.
No
Nivel Superior
19 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO4 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO4 NM 4.1
La organización de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio.
PO4 NM 4.2
La administración , la propiedad de procesos, la delegación y la responsabilidad de TI están definidas y balanceadas.
PO4 NM 4.3
Se aplican buenas prácticas internas en la organización de las funciones de TI.
PO4 NM 4.4
La gerencia de TI cuenta con experiencia y habilidades apropiadas para definir, implementar y monitorear la organización deseada y las relaciones.
PO4 NM 4.5
Las métricas medibles para dar soporte a los objetivos del negocio y los factores críticos de éxito definidos por el usuario siguen un estándar.
PO4 NM 4.6
Se cuentan con inventarios de habilidades para apoyar al personal de los proyectos y el desarrollo profesional.
PO4 NM 4.7
El equilibrio entre las habilidades y los recursos disponibles internamente, y los que se requieren de organizaciones externas están definidos y reforzados.
PO4 NM 4.8
La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratégicos del negocio, en lugar de estar alineados con tecnologías aisladas.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO4 NM 5
Nivel de Madurez 5 - Optimizado Si
PO4
PO4 NM 5.1
La estructura organizacional de TI es flexible y adaptable.
PO4 NM 5.2
Se ponen en funcionamiento las mejores prácticas de la industria.
PO4 NM 5.3
Se utiliza la tecnología para monitorear el desempeño de la organización y de los procesos de TI.
PO4 NM 5.4
La tecnología se aprovecha para apoyar la complejidad y distribución geográfica de la organización.
PO4 NM 5.5
Se cuenta con un proceso de mejora continua y está implementado.
No
20 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL PO5
Índice
PO 5 Administrar la Inversión en TI
EVALUE CORRECTAMENTE EL PO 5.1 PO 5.1
Marco de trabajo para la administración financiera Si
PO 5.1.1
Se establece un marco de trabajo financiero para TI que impulse el presupuesto y el análisis de rentabilidad basado en los portafolios de inversión, de servicios y de activos.
PO 5.1.2
Se da mantenimiento a los portafolios de los programas de inversión de TI, de los servicios de TI y de los activos de TI, los cuales forman la base para el actual presupuesto actual de TI.
PO 5.1.3
Se brinda información de entrada a los casos de negocio de nuevas inversiones, tomando en cuenta los portafolios actuales de activos y servicios de TI.
PO 5.1.4
Las nuevas inversiones y el mantenimiento a los portafolios de servicios y de activos influyen en el futuro presupuesto de TI.
PO 5.1.5
Se comunican los aspectos de costo y beneficio de estos portafolios a los procesos de priorización de presupuestos, administración de costos y administración de beneficios.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL PO 5.2 PO 5.2
Prioridades dentro del presupuesto de TI Si
PO 5.2.1
No
No Aplica
Se implementa un proceso de toma de decisiones para priorizar la asignación de recursos de TI para las operaciones, proyectos y mantenimiento que maximice la contribución de TI a optimizar el retorno del portafolio empresarial de programas de inversión en TI y otros servicios y activos de TI.
EVALUE CORRECTAMENTE EL PO 5.3 PO 5.3
Proceso presupuestario de TI Si
PO 5.3.1
Se establece un proceso para elaborar y administrar un presupuesto que refleje las prioridades establecidas en el portafolio empresarial de programas de inversión de TI, que incluya los costos recurrentes de operación y el mantenimiento de la infraestructura actual.
PO 5.3.2
El proceso da soporte al desarrollo de un presupuesto general de TI, así como al desarrollo de presupuestos para programas individuales, con énfasis especial en los componentes de TI de esos programas.
PO 5.3.3
El proceso permite la revisión, el refinamiento y la aprobación constante del presupuesto general y de los presupuestos de programas individuales.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 5.4 PO 5.4
Administración de costos Si
PO 5.4.1
Se implementa un proceso de administración de costos que compare los costos reales con los presupuestados.
PO 5.4.2
Los costos se monitorean y reportan.
No
No Aplica
Cuando existen desviaciones:
PO5
PO 5.4.3
1. Se identifican de forma oportuna.
PO 5.4.4
2. Se evalúa el impacto de esas desviaciones sobre los programas.
PO 5.4.5
3. Se toman las acciones correctivas apropiadas, junto con el patrocinador del negocio de estos programas.
PO 5.4.6
4. Se actualiza el caso de negocio del programa de inversión.
21 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 5.5 PO 5.5
Administración de beneficios
Referencias Si
PO 5.5.1
No
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se implementan un proceso de monitoreo de beneficios.
La contribución esperada de TI a los resultados del negocio, ya sea como un componente de programa de inversión en TI o como parte de un soporte operativo regular, se : PO 5.5.2
1. Identifica.
PO 5.5.3
2. Acuerda.
PO 5.5.4
3. Monitorea.
PO 5.5.5
4. Reporta.
PO 5.5.6
Al revisar los reportes, donde existan oportunidades para mejorar la contribución de TI, se definen y se toman las medidas apropiadas.
PO 5.5.7
En caso de que los cambios en la contribución de TI, o cuando los cambios a otros proyectos relacionados impacten al programa, el caso de negocio se actualiza.
NIVELES DE MADUREZ PO5
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO5 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO5 NM 1.1
La organización reconoce la necesidad de administrar la inversión en TI, aunque esta necesidad se comunica de manera inconsistente.
PO5 NM 1.2
La asignación de responsabilidades de selección de inversiones en TI y de desarrollo de presupuestos se hace de una forma ad hoc.
PO5 NM 1.3
Las implementaciones aisladas de selección y presupuesto de inversiones en TI, se documenta informalmente.
PO5 NM 1.4
Las inversiones en TI se justifican de una forma ad hoc (para un fin determinado).
PO5 NM 1.5
Se toman decisiones presupuestales enfocadas de modo reactivo y operativo.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO5 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO5 NM 2.1
Se tiene un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones en TI.
PO5 NM 2.2
La necesidad de un proceso de selección y presupuesto se comunica.
PO5 NM 2.3
El cumplimiento depende de la iniciativa de individuos dentro de la organización.
PO5 NM 2.4
Surgen técnicas comunes para desarrollar componentes de presupuesto de TI.
PO5 NM 2.5
Se toman decisiones presupuestales enfocadas de modo reactivo y táctico.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO5 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO5
PO5 NM 3.1
Tanto las políticas como los procesos para inversiones y presupuestos están definidas, documentadas, comunicadas y cubren temas clave de negocio y de tecnología.
PO5 NM 3.2
El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio.
PO5 NM 3.3
Los procesos de selección de inversiones en TI y de presupuestos están formalizados, documentados y comunicados.
PO5 NM 3.4
La capacitación formal está surgiendo, pero todavía se basa principalmente en iniciativas individuales.
PO5 NM 3.5
La aprobación formal de selección de las inversiones de TI y los presupuestos se lleva a cabo.
PO5 NM 3.6
El personal de TI cuenta con la experiencia y habilidades necesarias para desarrollar el presupuesto de TI y recomendar inversiones apropiadas en TI.
No
Nivel Superior
22 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO5 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO5 NM 4.1
La responsabilidad y la rendición de cuentas por la selección y presupuestos de inversiones se asignan a un individuo específico.
PO5 NM 4.2
Las diferencias en el presupuesto se identifican y se resuelven.
PO5 NM 4.3
Se realizan análisis formales de costos que cubren los costos directos e indirectos de las operaciones existentes, así como propuestas de inversiones, considerando todos los costos a lo largo de todo el ciclo de vida.
PO5 NM 4.4
Se usa un proceso de presupuestos proactivo y estándar.
PO5 NM 4.5
El impacto en los costos operativos y de desarrollo debidos a cambios en hardware y software, hasta cambios en integración de sistemas y recursos humanos de TI, se reconoce en los planes de inversión.
PO5 NM 4.6
Los beneficios y los retornos se calculan en términos financieros y no financieros.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO5 NM 5
Nivel de Madurez 5 - Optimizado Si
PO5
PO5 NM 5.1
Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identifican la efectividad de las inversiones.
PO5 NM 5.2
Se utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones.
PO5 NM 5.3
El proceso de administración de inversiones se mejora de forma continua con base en las lecciones aprendidas provenientes del análisis del desempeño real de las inversiones.
PO5 NM 5.4
Las decisiones de inversiones incluyen las tendencias de mejora de precio / desempeño.
PO5 NM 5.5
Se investigan y evalúan formalmente las alternativas de financiamiento dentro del contexto de la estructura de capital existente en la organización, mediante el uso de métodos formales de evaluación.
PO5 NM 5.6
Se identifica proactivamente las desviaciones.
PO5 NM 5.7
El análisis de los costos a largo plazo y los beneficios del ciclo total de vida es incorporado en las decisiones de inversión
No
23 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL PO6
Índice
PO 6 Comunicar los Objetivos y Dirección de la Gerencia
EVALUE CORRECTAMENTE EL PO 6.1 PO 6.1
Ambiente de políticas y de control Si
PO 6.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se definen los elementos de un entorno de control de TI, alineado con la filosofía de administración empresarial y con el estilo de operación. Los elementos del entorno de control de TI incluyen:
PO 6.1.2
1. Las expectativas / requerimientos respecto a la entrega de valor proveniente de las inversiones en TI.
PO 6.1.3
2. El apetito de riesgo.
PO 6.1.4
3. La integridad
PO 6.1.5
4. Los valores éticos.
PO 6.1.6
5. La competencia del personal.
PO 6.1.7
6. La rendición de cuentas
PO 6.1.8
7. La responsabilidad. El ambiente de control está basado en una cultura que:
PO 6.1.9
1. Apoya la entrega de valor.
PO 6.1.10
2. Administración de los riesgos significativos.
PO 6.1.11
3. Fomenta la colaboración inter-divisional y el trabajo en equipo
PO 6.1.12
4. Promueve el cumplimiento y la mejora continua de procesos.
PO 6.1.13
5. Maneja las desviaciones (incluyendo las fallas) de forma adecuada.
EVALUE CORRECTAMENTE EL PO 6.2 PO 6.2
Riesgo Corporativo y Marco de Referencia de Control Interno de TI Si
PO 6.2.1
No
No Aplica
Se elabora y mantiene un marco de trabajo que establezca el enfoque empresarial general hacia los riesgos y hacia el control interno para entregar valor mientras se protegen los recursos y sistemas de TI. El marco de trabajo:
PO 6.2.2
1. Se integra con el marco de procesos de TI.
PO 6.2.3
2. Se integra con el sistema de administración de calidad
PO 6.2.4
3. Cumple con los objetivos generales de la empresa.
PO 6.2.5
PO 6.2.6
PO6
La meta es maximizar el éxito de la entrega de valor. Se minimiza los riesgos para los activos de información por medio de medidas preventivas, la identificación oportuna de irregularidades, la limitación de pérdidas y la oportuna recuperación de activos del negocio.
24 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 6.3 PO 6.3
Administración de políticas para TI Si
PO 6.3.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se elabora y mantiene un conjunto de políticas que apoyen la estrategia de TI
Las políticas de TI incluyen: PO 6.3.2
1. La intención de la alta dirección respecto a la política.
PO 6.3.3
2. Los roles y responsabilidades.
PO 6.3.4
3. Los procesos de excepción.
PO 6.3.5
4. El enfoque de cumplimiento y referencias a procedimientos
PO 6.3.6
5. Los estándares y directrices. Las políticas de TI atienden las temáticas tales como:
PO 6.3.7
1. Calidad.
PO 6.3.8
2. Seguridad.
PO 6.3.9
3. Confidencialidad.
PO 6.3.10
4. Controles internos.
PO 6.3.11
5. Propiedad intelectual.
PO 6.3.12
Se confirma y aprueba regularmente la relevancia de estas políticas
EVALUE CORRECTAMENTE EL PO 6.4 PO 6.4
Política de Implantación Si
PO 6.4.1
Las políticas de TI se implementan y se comunican a todo el personal relevante, y se refuerzan, de tal forma que estén incluidas y sean parte integral de las operaciones empresariales.
PO 6.4.2
Los métodos de implementación resuelven necesidades e implicaciones de recursos y concientización.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 6.5 PO 6.5
Comunicación de los objetivos y la dirección de TI Si
PO 6.5.1
No
No Aplica
Se asegura que la conciencia y el entendimiento de los objetivos y la dirección del negocio y de TI se comunican a toda la organización. La información comunicada abarca:
PO 6.5.2
1. Una misión claramente definida.
PO 6.5.3
2. Los objetivos de servicio.
PO 6.5.4
3. La seguridad
PO 6.5.5
4. Los controles internos.
PO 6.5.6
5. La calidad.
PO 6.5.7
6. El código de ética y conducta.
PO 6.5.8
7. Las políticas y procedimientos.
PO 6.5.9
8. La comunicación continua dentro de un programa, apoyado por la alta dirección con acciones.
PO 6.5.10
PO6
La dirección da especial atención a comunicar la conciencia sobre la seguridad de TI y el mensaje de que: la seguridad de TI es responsabilidad de todos.
25 de 152
Matriz de Calificación
NIVELES DE MADUREZ PO6
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO6 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO6 NM 1.1
La administración es reactiva para hacer frente a las exigencias del entorno de control de la información.
PO6 NM 1.2
Las políticas, procedimientos y estándares se elaboran y comunican de forma ad hoc (para un fin determinado) de acuerdo a los temas.
PO6 NM 1.3
Los procesos de elaboración, comunicación y cumplimiento son informales e inconsistentes.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO6 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO6 NM 2.1
PO6 NM 2.2
No
Nivel Superior
La administración tiene un entendimiento implícito de las necesidades y de los requerimientos de un ambiente de control de información efectivo, aunque las prácticas son en su mayoría informales. La administración ha comunicado la necesidad de políticas, procedimientos y estándares de control, pero la elaboración se delega a la discreción de gerentes y áreas de negocio individuales.
PO6 NM 2.3
La calidad se reconoce como una filosofía deseable a seguir, pero las prácticas se dejan a discreción de gerentes individuales.
PO6 NM 2.4
El capacitación se realiza de forma individual, según se requiere.
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO6 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO6 NM 3.1
PO6 NM 3.2
No
Nivel Superior
La administración ha elaborado, documentado y comunicado un ambiente completo de administración de calidad y control de la información, que incluye un marco para las políticas, procedimientos y estándares. El proceso de elaboración de políticas es estructurado, mantenido y conocido por el personal, y las políticas, procedimientos y estándares existentes son razonablemente sólidos y cubren temas clave.
PO6 NM 3.3
La administración ha reconocido la importancia de la conciencia de la seguridad de TI y ha iniciado programas de concientización.
PO6 NM 3.4
La capacitación formal está disponible para apoyar al ambiente de control de información, sin embargo no se aplica de forma rigurosa.
PO6 NM 3.5
Se dispone de un marco de trabajo general para la elaboración de las políticas y estándares de control; sin embargo, el monitoreo del cumplimiento de estas políticas y estándares es inconsistente.
PO6 NM 3.6
Las técnicas para promover la conciencia sobre la seguridad han sido estandarizadas y formalizadas.
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO6 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO6 NM 4.1
La administración asume la responsabilidad de comunicar las políticas de control interno y delega la responsabilidad y asigna suficientes recursos para mantener el ambiente en concordancia con los cambios significativos.
PO6 NM 4.2
Se ha establecido un ambiente de control de información positivo y proactivo.
PO6 NM 4.3
Se han establecido un conjunto completo de políticas, procedimientos y estándares, los cuales se mantienen y comunican, y forman un componente de buenas prácticas internas.
PO6 NM 4.4
Se ha establecido un marco de trabajo para la implementación y las verificaciones subsiguientes de cumplimiento.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO6 NM 5
Nivel de Madurez 5 - Optimizado Si
PO6
PO6 NM 5.1
El ambiente de control de la información está alineado con el marco administrativo estratégico y con la visión, el cual con frecuencia se revisa, actualiza y mejora.
PO6 NM 5.2
Se asignan expertos internos y externos para garantizar que se adoptan las mejores prácticas de la industria, con respecto a las guías de control y a las técnicas de comunicación.
PO6 NM 5.3
El monitoreo, la auto-evaluación y las verificaciones de cumplimiento cubren toda la organización.
PO6 NM 5.4
La tecnología se usa para mantener bases de conocimiento de políticas y de concientización para optimizar la comunicación, usando herramientas de automatización de oficinas y de capacitación basado en computadora.
No
26 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL PO7
Índice
PO 7 Administrar los Recursos Humanos de TI
EVALUE CORRECTAMENTE EL PO 7.1 PO 7.1
Reclutamiento y retención del personal Si
PO 7.1.1
Se asegura que los procesos de reclutamiento del personal de TI estén de acuerdo a las políticas y procedimientos generales de personal de la organización (ej. contratación, un ambiente positivo de trabajo y orientación).
PO 7.1.2
La administración implementa procesos para garantizar que la organización cuente con una fuerza de trabajo posicionada de forma apropiada, que tenga las habilidades necesarias para alcanzar las metas organizacionales.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL PO 7.2 PO 7.2
Competencias del personal Si
PO 7.2.1
Se verifica periódicamente que el personal tenga las competencias para cumplir sus funciones con base en su educación, formación y / o experiencia.
PO 7.2.2
Se definen los requisitos de competencias esenciales de TI, y se verifica que se mantienen, con cualificación y programas de certificación según sea el caso.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 7.3 PO 7.3
Asignación de roles Si
PO 7.3.1
No
No Aplica
Se definen, monitorean y supervisan las funciones, responsabilidades y los marcos de compensación para el personal, incluida la obligación de adherirse a las políticas y procedimientos de gestión, al código de ética y prácticas profesionales. Los términos y condiciones de empleo enfatizan la responsabilidad del empleado respecto a:
PO 7.3.2
1. A la seguridad de la información.
PO 7.3.3
2. Al control interno.
PO 7.3.6
PO 7.3.7
3. Al cumplimiento regulatorio El nivel de supervisión está de acuerdo con la sensibilidad del puesto y el grado de responsabilidades asignadas.
EVALUE CORRECTAMENTE EL PO 7.4 PO 7.4
Entrenamiento del personal de TI Si
PO 7.4.1
No
No Aplica
Se proporciona a los empleados de TI la orientación necesaria al momento de la contratación y capacitación continuo para conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas organizacionales.
EVALUE CORRECTAMENTE EL PO 7.5 PO 7.5
Dependencia sobre los individuos Si
No
No Aplica
Se minimiza la exposición a dependencias críticas sobre individuos clave por medio de:
PO7
PO 7.5.1
1. La captura del conocimiento (documentación).
PO 7.5.2
2. Compartir el conocimiento / respaldos de personal.
PO 7.5.3
3. La planeación de la sucesión.
27 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 7.6 PO 7.6
Procedimientos de investigación del personal Si
PO 7.6.1
Se incluye verificaciones de antecedentes en el proceso de reclutamiento de TI.
PO 7.6.2
El grado y la frecuencia de estas verificaciones dependen de que tan delicada ó crítica sea la función.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
El grado y la frecuencia de estas verificaciones se aplica a: PO 7.6.3
1. Los empleados.
PO 7.6.4
2. Los contratistas.
PO 7.6.5
3. Los proveedores.
EVALUE CORRECTAMENTE EL PO 7.7 PO 7.7
Evaluación del desempeño del empleado Si
PO 7.7.1
Las evaluaciones de desempeño se realizan periódicamente, comparando contra los objetivos individuales derivados de las metas organizacionales, estándares establecidos y responsabilidades específicas del puesto.
PO 7.7.2
Los empleados deben recibir retroalimentación sobre su desempeño y conducta, según sea necesario
No
No Aplica
EVALUE CORRECTAMENTE EL PO 7.8 PO 7.8
Cambios y finalización del contrato de trabajo Si
PO7
PO 7.8.1
Se toman medidas expeditas respecto a los cambios en los puestos, en especial a las finalizaciones del contrato de trabajo.
PO 7.8.2
Se realiza la transferencia del conocimiento, reasignación de responsabilidades y eliminación de los privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la función.
No
No Aplica
28 de 152
Matriz de Calificación
NIVELES DE MADUREZ PO7
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO7 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO7 NM 1.1
La administración reconoce la necesidad de contar con administración de recursos humanos de TI.
PO7 NM 1.2
El proceso de administración de recursos humanos de TI es informal y reactivo.
PO7 NM 1.3
El proceso de recursos humanos de TI está enfocado de manera operacional en la contratación y administración del personal de TI.
PO7 NM 1.4
Se desarrollan la conciencia de la administración sobre la necesidad de mejorar los niveles de habilidades y competencias de personal de TI por los cambios rápidos de negocio y de tecnología así como las soluciones cada vez más complejas.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO7 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO7 NM 2.1
Se cuenta con un enfoque táctico para contratar y administrar al personal de TI, dirigido por necesidades específicas de proyectos, en lugar de hacerlo con base en un equilibrio entendido de disponibilidad interna y externa de personal calificado.
PO7 NM 2.2
Se imparte capacitación informal al personal nuevo, quienes después reciben capacitación según sea necesario.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO7 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO7
PO7 NM 3.1
Se cuenta con un proceso definido y documentado para administrar los recursos humanos de TI.
PO7 NM 3.2
Se cuenta con un plan de administración de recursos humanos.
PO7 NM 3.3
Se dispone de un enfoque estratégico para la contratación y la administración del personal de TI.
PO7 NM 3.4
El plan de capacitación formal está diseñado para satisfacer las necesidades de los recursos humanos de TI.
PO7 NM 3.5
Se cuenta con un programa de rotación, diseñado para expandir las habilidades gerenciales y de negocio.
No
Nivel Superior
29 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO7 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO7 NM 4.1
Se asigna a un individuo o grupo con las habilidades y experiencias necesarias, la responsabilidad de elaboración y el mantenimiento de un plan de administración de recursos humanos para TI.
PO7 NM 4.2
El proceso para elaborar y mantener el plan de administración de recursos humanos de TI responde al cambio.
PO7 NM 4.3
La organización cuenta con métricas estandarizadas que le permiten identificar desviaciones respecto al plan de administración de recursos humanos de TI con énfasis especial en el manejo del crecimiento y rotación del personal.
PO7 NM 4.4
Las revisiones de compensación y de desempeño se están estableciendo y se comparan con otras organizaciones de TI y con las mejores prácticas de la industria.
PO7 NM 4.5
La administración de recursos humanos es proactiva, tomando en cuenta el desarrollo de un plan de carrera.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO7 NM 5
Nivel de Madurez 5 - Optimizado Si
PO7
PO7 NM 5.1
El plan de administración de recursos humanos de TI se actualiza de forma constante para satisfacer los cambios requeridos por el negocio.
PO7 NM 5.2
La administración de recursos humanos de TI está integrada y responde a la dirección estratégica de la entidad.
PO7 NM 5.3
La administración de recursos humanos de TI está integrada con la planificación de la tecnología, para garantizar el desarrollo óptimo y el uso de las habilidades de TI disponibles.
PO7 NM 5.4
Los componentes de la administración de recursos humanos de TI son consistentes con las mejores prácticas de la industria, tales como compensación, revisiones de desempeño, participación en foros de la industria, transferencia de conocimiento, capacitación y tutorías.
PO7 NM 5.5
Los programas de capacitación se desarrollan para todos los nuevos estándares tecnológicos y productos antes de su implementación en la organización.
No
30 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL PO8
Índice
PO 8 Administrar la Calidad
EVALUE CORRECTAMENTE EL PO 8.1 PO 8.1
Sistema de administración de calidad (QMS) Si
PO 8.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se establece y se mantiene un sistema de administración de calidad (QMS) que proporcione un enfoque estándar, formal y continuo, con respecto a la administración de la calidad, alineado con los requerimientos del negocio. Un sistema de administración de calidad identifica:
PO 8.1.2
1. Los requerimientos y criterios de calidad.
PO 8.1.3
2. Los procesos claves de TI, así como su secuencia e interacción.
PO 8.1.4
3. Políticas, criterios y métodos para definir, detectar, corregir y prever las no conformidades.
PO 8.1.5
El QMS define la estructura organizacional para la administración de la calidad, cubriendo los roles, las tareas y las responsabilidades.
PO 8.1.6
Las áreas clave desarrollan sus planes de calidad de acuerdo a los criterios y políticas, registrando los datos de calidad.
PO 8.1.7
Se monitorea y mide la efectividad, así como la aceptación del QMS, y se actualiza cuando sea necesario.
EVALUE CORRECTAMENTE EL PO 8.2 PO 8.2
Estándares y prácticas de calidad Si
PO 8.2.1
Se identifican y mantienen estándares, procedimientos y prácticas para los procesos clave de TI que orientan a la organización hacia el cumplimiento del QMS.
PO 8.2.2
Se utilizan las mejores prácticas de la industria como una referencia para la mejora y adaptación de prácticas de calidad de la organización.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 8.3 PO 8.3
Estándares de desarrollo y de adquisición Si
PO 8.3.1
No
No Aplica
Se adopta y mantiene estándares para todo el desarrollo y adquisición que siguen el ciclo de vida, hasta el último entregable e incluyen la aprobación en puntos clave con base en criterios de aprobación acordados. Los temas a considerar incluyen
PO8
PO 8.3.2
1. Los estándares de codificación de software.
PO 8.3.3
2. Las normas de nomenclatura.
PO 8.3.4
3. Los formatos de archivos, estándares de diseño para esquemas y diccionario de datos.
PO 8.3.5
4. Los estándares para la interfaz de usuario.
PO 8.3.6
5. La inter-operabilidad.
PO 8.3.7
6. La eficiencia de desempeño de sistemas.
PO 8.3.8
7. La escalabilidad.
PO 8.3.9
8. Los estándares para desarrollo y pruebas
PO 8.3.10
9. La validación contra requerimientos.
PO 8.3.11
10. Los planes de pruebas.
PO 8.3.12
11. Las pruebas unitarias, de regresión y de integración.
31 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 8.4 PO 8.4
Enfoque al cliente Si
PO 8.4.1
La administración de calidad se enfoca en los clientes, determina sus requerimientos y los alinea con los estándares y prácticas de TI.
PO 8.4.2
Se han definido los roles y responsabilidades respecto a la resolución de conflictos entre el usuario/cliente y la organización de TI.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL PO 8.5 PO 8.5
Mejora continua Si
PO 8.5.1
No
No Aplica
Se elabora y comunica un plan global de calidad que promueva la mejora continua, de forma periódica.
EVALUE CORRECTAMENTE EL PO 8.6 PO 8.6
Medición, monitoreo y revisión de la calidad Si
PO8
PO 8.6.1
Se definen, planean e implementan mediciones para monitorear el cumplimiento continuo y el valor que proporciona el QMS.
PO 8.6.2
La medición, el monitoreo y el registro de la información son utilizados por el dueño del proceso para tomar las medidas correctivas y preventivas apropiadas.
No
No Aplica
32 de 152
Matriz de Calificación
NIVELES DE MADUREZ PO8
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO8 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO8 NM 1.1
La administración tiene conciencia sobre la necesidad de un Sistema de Administración de la Calidad (QMS).
PO8 NM 1.2
El QMS es dirigido por los mismos individuos que lo llevan a cabo.
PO8 NM 1.3
La administración realiza juicios informales sobre la calidad.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO8 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO8 NM 2.1
Se ha establecido un programa para definir y monitorear las actividades de TI dentro del QMS.
PO8 NM 2.2
Las actividades de QMS que ocurren están enfocadas a iniciativas orientadas a procesos y proyectos de TI, y no a los procesos organizacionales.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO8 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO8
PO8 NM 3.1
La administración ha comunicado un proceso definido de QMS e involucra a las administraciones de TI y de usuario final.
PO8 NM 3.2
Un programa de educación y capacitación está surgiendo para instruir a todos los niveles de la organización sobre el tema de la calidad.
PO8 NM 3.3
Se han definido expectativas básicas de calidad y éstas se comparten dentro de los proyectos y la organización de TI.
PO8 NM 3.4
Surgen herramientas y prácticas comunes para administrar la calidad.
PO8 NM 3.5
Las encuestas de satisfacción de la calidad se planean y ocasionalmente se aplican.
No
Nivel Superior
33 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO8 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO8 NM 4.1
El QMS está incluido en todos los procesos, incluyendo aquellos que dependen de terceros.
PO8 NM 4.2
Se establece una base de conocimiento estandarizada para las métricas de calidad.
PO8 NM 4.3
Se usan métodos de análisis de costo / beneficio para justificar las iniciativas de QMS.
PO8 NM 4.4
Surge el uso de benchmarking contra la industria y con los competidores.
PO8 NM 4.5
Se ha instituido un programa de educación y capacitación para todos los niveles de la organización en el tema de la calidad.
PO8 NM 4.6
Las herramientas y prácticas se han estandarizado y los análisis causa raíz se han aplicado periódicamente.
PO8 NM 4.7
Las encuestas de satisfacción de calidad se aplican consistentemente.
PO8 NM 4.8
Se cuenta con un programa bien estructurado y estandarizado para medir la calidad.
PO8 NM 4.9
La administración de TI está construyendo una base de conocimiento para las métricas de calidad.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO8 NM 5
Nivel de Madurez 5 - Optimizado Si
PO8
PO8 NM 5.1
El QMS está integrado y se aplica a todas las actividades de TI.
PO8 NM 5.2
Los procesos de QMS son flexibles y adaptables a los cambios en el ambiente de TI.
PO8 NM 5.3
Se mejora la base de conocimientos para métricas de calidad con las mejores prácticas externas.
PO8 NM 5.4
Se realiza benchmarking contra estándares externos rutinariamente.
PO8 NM 5.5
Las encuestas de satisfacción de la calidad constituyen un proceso constante y conducen al análisis de causas raíz y a medidas de mejora.
PO8 NM 5.6
Se ha establecido un aseguramiento formal sobre el nivel de los procesos de administración de la calidad.
No
34 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL PO9
Índice
PO 9 Evaluar y Administrar los Riesgos de TI
EVALUE CORRECTAMENTE EL PO 9.1 PO 9.1
Alineación de la administración de riesgos de TI y del negocio Si
PO 9.1.1
Se integra el gobierno, la administración de riesgos y el marco de control de TI, al marco de trabajo de administración de riesgos de la organización.
PO 9.1.2
La administración de riesgos incluye la alineación con el apetito al riesgo y con el nivel de tolerancia al riesgo de la organización.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL PO 9.2 PO 9.2
Establecimiento del contexto del riesgo Si
PO 9.2.1
Se establece el contexto en el cual el marco de trabajo de evaluación de riesgos se aplica para garantizar resultados apropiados.
PO 9.2.2
Se determina el contexto interno y externo de cada evaluación de riesgos, la meta de evaluación y los criterios contra los cuales se evalúan.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 9.3 PO 9.3
Identificación de eventos Si
PO9
PO 9.3.1
Se identifica cualquier evento (amenaza y vulnerabilidad), con un impacto potencial sobre los objetivos o las operaciones de la empresa, incluyendo aspectos de negocio, regulatorios, legales, tecnológicos, sobre socios comerciales, sobre recursos humanos y operacionales.
PO 9.3.2
Se determina y se da mantenimiento a la naturaleza de los impactos (positivos, negativos o ambos).
No
No Aplica
35 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 9.4 PO 9.4
Evaluación de riesgos Si
PO 9.4.1
Se evalúa de forma recurrente la posibilidad e impacto de todos los riesgos identificados usando métodos cualitativos y cuantitativos.
PO 9.4.2
La posibilidad e impacto asociados a los riesgos inherentes y residuales se determina de forma individual, por categoría y con base en el portafolio.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL PO 9.5 PO 9.5
Respuesta a los riesgos Si
PO 9.5.1
Se identifica los propietarios de los riegos y a los dueños de los procesos afectados.
PO 9.5.2
Se elaboran y mantienen respuestas a los riesgos que garanticen el costo beneficio de los controles y las medidas de seguridad para mitigar el riesgo sobre una base continua.
PO 9.5.3
La respuesta a los riesgos identifican estrategias de riesgo tales como evitar, reducir, compartir o aceptar.
PO 9.5.4
Al elaborar la respuesta de riesgos, se considera el costo/beneficio y se seleccionan respuestas que limiten los riesgos residuales dentro de los niveles de tolerancia de riesgos definidos.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 9.6 PO 9.6
Mantenimiento y monitoreo de un plan de acción de riesgos Si
PO 9.6.1
No
No Aplica
Se asignan prioridades a todos los niveles para implementar las respuestas a los riesgos identificadas como necesarias. La asignación de prioridades incluye identifica:
PO9
PO 9.6.2
1. Los costos.
PO 9.6.3
2. Los beneficios.
PO 9.6.4
3. Las responsabilidad de la ejecución.
PO 9.6.5
Se busca la aprobación para las acciones recomendadas y la aceptación de cualquier riesgo residual.
PO 9.6.6
Se asegura que las acciones comprometidas sean propiedad del dueño (s) de los procesos afectados.
PO 9.6.7
Se monitorea la ejecución de los planes y se reporta cualquier desviación a la alta dirección.
36 de 152
Matriz de Calificación
NIVELES DE MADUREZ PO9
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO9 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO9 NM 1.1
Los riesgos de TI se toman en cuenta de manera ad hoc (para un fin determinado).
PO9 NM 1.2
Se realizan evaluaciones informales de riesgos según lo determine cada proyecto.
PO9 NM 1.3
Las evaluaciones de riesgos son a veces identificados en un plan de proyecto, pero rara vez son asignadas a los encargados específicos.
PO9 NM 1.4
Los riesgos específicos relacionados con TI tales como seguridad, disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por proyecto.
PO9 NM 1.5
Los riesgos relativos a TI que afectan las operaciones del día a día, son rara vez discutidas en reuniones gerenciales.
PO9 NM 1.6
Cuando se toman en cuenta los riesgos, la mitigación es inconsistente.
PO9 NM 1.7
Se tiene un entendimiento emergente de que los riesgos de TI son importantes y necesitan ser considerados.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO9 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO9 NM 2.1
Se tiene un enfoque de evaluación de riesgos inmaduro y en evolución, asimismo se implementa a discreción por los gerentes de proyecto.
PO9 NM 2.2
La administración de riesgos se da por lo general a alto nivel y se aplica de manera típica solo a proyectos grandes o como respuesta a problemas.
PO9 NM 2.3
Los procesos de mitigación de riesgos están en implementación donde se han identificado los riesgos.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO9 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO9
PO9 NM 3.1
Una política de administración de riesgos para toda la organización define cuándo y cómo realizar las evaluaciones de riesgos.
PO9 NM 3.2
La administración de riesgos sigue un proceso definido, el cual está documentado.
PO9 NM 3.3
La capacitación sobre administración de riesgos está disponible para todo el personal.
PO9 NM 3.4
La decisión de seguir el proceso de administración de riesgos y de recibir capacitación queda a discreción del individuo.
PO9 NM 3.5
La metodología para la evaluación de riesgos es convincente y sólida, y garantiza que los riesgos claves para el negocio sean identificados.
PO9 NM 3.6
Un proceso para mitigar los riesgos clave por lo general se institucionaliza una vez que los riesgos se identifican.
PO9 NM 3.7
Las descripciones de puestos toma en cuenta las responsabilidades de administración de riesgos.
No
Nivel Superior
37 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO9 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO9 NM 4.1
La evaluación y administración de riesgos son procesos estándar.
PO9 NM 4.2
Las excepciones al proceso de administración de riesgos se reportan a la gerencia de TI.
PO9 NM 4.3
La administración de riesgos de TI es una responsabilidad de alto nivel.
PO9 NM 4.4
Los riesgos se evalúan y se mitigan a nivel de proyecto individual y también por lo regular se hace con respecto a la operación global de TI.
PO9 NM 4.5
La administración recibe notificación sobre los cambios en el ambiente de negocios y de TI que pueden afectar de manera significativa los escenarios de riesgo relacionados con TI.
PO9 NM 4.6
La administración es capaz de controlar la posición de riesgo y tomar decisiones informadas con respecto a la exposición que está dispuesto a aceptar.
PO9 NM 4.7
Todos los riesgos identificados tienen un propietario asignado, y la alta dirección, así como la gerencia de TI han determinado los niveles de riesgo que la organización está dispuesta a tolerar.
PO9 NM 4.8
La gerencia de TI ha elaborado medidas estándar para evaluar el riesgo y para definir las proporciones riesgo / retorno.
PO9 NM 4.9
La administración presupuesta para que el proyecto de administración de riesgos sea reevaluado regularmente.
PO9 NM 4.10
Se establece una base de datos administrativa, y parte del proceso de administración de riesgos se empieza a automatizar.
PO9 NM 4.11
La administración de TI toma en cuenta las estrategias de mitigación de riesgo.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO9 NM 5
Nivel de Madurez 5 - Optimizado Si
PO9
PO9 NM 5.1
La administración de riesgos ha evolucionado al nivel en que un proceso estructurado está implementado en toda la organización y es bien administrado.
PO9 NM 5.2
Las buenas prácticas se aplican en toda la organización.
PO9 NM 5.3
La captura, análisis y reporte de los datos de administración de riesgos están altamente automatizados.
PO9 NM 5.4
La orientación se toma de los líderes en el campo y la organización de TI participa en grupos de interés para intercambiar experiencias.
PO9 NM 5.5
La administración de riesgos está altamente integrada en todo el negocio y en las operaciones de TI, está bien aceptada, y abarca a los usuarios de servicios de TI.
PO9 NM 5.6
La dirección detectará y actuará cuando se realicen decisiones grandes de inversión, operación o de TI, que no tomen en cuenta el plan de administración de riesgos.
PO9 NM 5.7
La dirección evalúa las estrategias de mitigación de riesgos de manera continua.
No
38 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL PO10
Índice
PO 10 Administrar Proyectos
EVALUE CORRECTAMENTE EL PO 10.1 PO 10.1
Marco de trabajo para la administración de programas Si
PO 10.1.1
Se mantiene el programa de proyectos relacionado con el portafolio de los programas de inversión de TI vigente, para identificar, definir, evaluar, priorizar, seleccionar, inicializar, administrar y controlar proyectos.
PO 10.1.2
Se asegura que los proyectos apoyen los objetivos del programa.
PO 10.1.3
Se coordina las actividades e interdependencias de múltiples proyectos.
PO 10.1.4
Se administra la contribución de todos los proyectos dentro del programa hasta obtener los resultados esperados.
PO 10.1.5
Se resuelven los requerimientos y conflictos de recursos.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL PO 10.2 PO 10.2
Marco de trabajo para la administración de proyectos Si
PO 10.2.1
Se establece y mantiene un marco de trabajo para la administración de proyectos que define el alcance y los límites de la administración de proyectos, así como las metodologías que han sido adoptadas y aplicadas a cada proyecto emprendido.
PO 10.2.3
Las metodologías cubren, como mínimo, el inicio, la planeación, la ejecución, el control y cierre de las etapas de los proyectos, los puntos de control y las aprobaciones.
No
No Aplica
El marco de trabajo y las metodologías de soporte han sido integradas con: PO 10.2.4
1. La administración del portafolio empresarial.
PO 10.2.5
2. Los procesos de administración de programas.
EVALUE CORRECTAMENTE EL PO 10.3 PO 10.3
Enfoque de administración de proyectos Si
PO 10.3.1
Se establece un enfoque de administración de proyectos acorde con el tamaño, la complejidad y los requisitos regulatorios de cada proyecto.
PO 10.3.4
La estructura de administración de proyectos incluye las funciones, responsabilidades y rendición de cuentas del patrocinador del programa, los patrocinadores del proyecto, comité de dirección, oficina de proyectos y gerente del proyecto, así como los mecanismos mediante los cuales pueden cumplir con esas responsabilidades (tales como reportes y revisiones por etapa).
PO 10.3.12
Se asegura que todos los proyectos de TI cuenten con patrocinadores con la suficiente autoridad para la propia ejecución del proyecto dentro del programa estratégico global.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 10.4 PO 10.4
Compromiso de los interesados Si
PO 10.4.1
PO10
No
No Aplica
Se obtiene el compromiso y la participación de los interesados afectados en la definición y ejecución del proyecto dentro del contexto del programa global de inversión en TI.
39 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 10.5 PO 10.5
Estatuto de alcance del proyecto Si
PO 10.5.1
Se define y documenta la naturaleza y el alcance del proyecto para confirmar y desarrollar, entre las partes interesadas, un entendimiento común del alcance del proyecto y cómo se relaciona con otros proyectos dentro del programa global de inversión en TI.
PO 10.5.2
Se aprueba de manera formal por parte de los patrocinadores del programa y del proyecto la definición de la naturaleza y el alcance del proyecto antes de que éste inicie.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL PO 10.6 PO 10.6
Inicio de las fases del proyecto Si
PO 10.6.1
Se asegura que el inicio de las etapas importantes del proyecto se apruebe formalmente y se comunica a todos los interesados.
PO 10.6.2
La aprobación de la fase inicial se basa en las decisiones del gobierno de programa.
PO 10.6.3
La aprobación de las fases subsiguientes se basa en la revisión y aceptación de los entregables de la fase previa, así como la aprobación de un caso de negocio actualizado en la próxima revisión importante del programa.
PO 10.6.4
En el caso de fases traslapadas, se establece un punto de aprobación por parte de los patrocinadores del programa y del proyecto, para autorizar el avance del proyecto.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 10.7 PO 10.7
Plan integrado del proyecto Si
PO 10.7.1
Se establece formalmente un plan de proyecto integrado y aprobado (que abarque las empresas y los recursos de los sistemas de información) para orientar la ejecución y el control del proyecto durante todo el ciclo de vida de éste.
PO 10.7.2
Se entienden y documentan las actividades e interdependencias de múltiples proyectos dentro de un mismo programa.
PO 10.7.3
El plan del proyecto, y sus modificaciones, debe ser aprobado de acuerdo con el programa y marco de gobierno del proyecto.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 10.8 PO 10.8
Recursos del proyecto Si
No
No Aplica
Se define para los miembros del equipo de proyecto: PO 10.8.1
1. Las responsabilidades.
PO 10.8.2
2. Las relaciones.
PO 10.8.3
3. Las autoridades.
PO 10.8.4
4. Los criterios de desempeño.
PO 10.8.5
Se especifican la base de selección y asignación del personal competente y/o contratistas para el proyecto.
PO 10.8.6
La adquisición de productos y servicios requeridos para cada proyecto se planifica y administra para lograr los objetivos del proyecto mediante las prácticas de contratación de la organización.
EVALUE CORRECTAMENTE EL PO 10.9 PO 10.9
Administración de riesgos del proyecto Si
PO10
PO 10.9.1
Se elimina o minimiza los riesgos específicos asociados con proyectos individuales a través de un proceso sistemático de planificación, identificación, análisis, respuesta, seguimiento y control de las áreas o eventos que tienen el potencial de causar cambios no deseados.
PO 10.9.2
Se establecen y registran de forma centralizada los riesgos detectados por el proceso de administración de proyectos y el producto entregable del proyecto.
No
No Aplica
40 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL PO 10.10 PO 10.10
Plan de calidad del proyecto Si
PO 10.10.1
Se prepara un plan de gestión de calidad que describe el sistema de calidad del proyecto y cómo será implementado.
PO 10.10.2
El plan es revisado y acordado de manera formal por todas las partes interesadas y es incorporado en el plan integrado del proyecto.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL PO 10.11 PO 10.11
Control de cambios del proyecto Si
PO 10.11.1
No
No Aplica
Se establece un sistema de control de cambios para cada proyecto, de modo que todos los cambios de la línea base del proyecto (por ejemplo, el costo, calendario, alcance y calidad) estén debidamente revisados, aprobados e incorporados en el plan integrado del proyecto y en línea con el programa y el marco de gobierno de proyectos.
EVALUE CORRECTAMENTE EL PO 10.12 PO 10.12
Planeación del proyecto y métodos de aseguramiento Si
PO 10.12.1
Se identifican las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas nuevos o modificados durante la planeación del proyecto e incluido en el plan integrado de éste.
PO 10.12.2
Se proporciona a las tareas las garantías de que los controles internos reúnen las características de seguridad de los requerimientos definidos.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 10.13 PO 10.13
Medición del desempeño, reporte y monitoreo del proyecto Si
PO 10.13.1
Se mide el rendimiento del proyecto contra los criterios claves del proyecto (ej. alcance, cronograma, calidad, costos y riesgos).
PO 10.13.2
Se identifica cualquier desviación con respecto al plan.
PO 10.13.3
Se evalúa el impacto de las desviaciones sobre el proyecto y sobre el programa global.
PO 10.13.4
Se comunican los resultados a los principales interesados.
PO 10.13.5
Se recomiendan, implementan y monitorean medidas correctivas, según sea requerido, de acuerdo con el programa y el marco de gobierno del proyecto.
No
No Aplica
EVALUE CORRECTAMENTE EL PO 10.14 PO 10.14
Cierre del proyecto Si
PO10
PO 10.14.1
Se requiere que al final de cada proyecto, los interesados del proyecto determinen si el proyecto dio los resultados y beneficios previstos.
PO 10.14.2
Se identifica y comunica las actividades necesarias pendientes para alcanzar los resultados y beneficios previstos para el proyecto y el programa.
PO 10.14.3
Se identifican y documentan las lecciones aprendidas a ser usadas en futuros proyectos y programas.
No
No Aplica
41 de 152
Matriz de Calificación
NIVELES DE MADUREZ P10
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC PO10 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
PO10 NM 1.1
El uso de técnicas y enfoques de administración de proyectos dentro de TI es una decisión individual que se deja a los gerentes de TI.
PO10 NM 1.2
Se carece de compromiso por parte de la administración hacia la propiedad y la administración de proyectos.
PO10 NM 1.3
Las decisiones críticas sobre administración de proyectos se realizan sin la intervención de la gerencia usuaria ni del cliente.
PO10 NM 1.4
Se tiene poca o nula participación del cliente y del usuario para definir los proyectos de TI.
PO10 NM 1.5
Se carece de una organización clara dentro de TI para la administración de proyectos.
PO10 NM 1.6
Los roles y responsabilidades para la administración de proyectos no están definidas.
PO10 NM 1.7
Los proyectos, cronogramas y puntos clave están definidos pobremente, en caso de que existan.
PO10 NM 1.8
No se le da seguimiento al tiempo y a los gastos de equipo del proyecto y no se comparan con el presupuesto.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA PO10 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
PO10
PO10 NM 2.1
La alta dirección ha obtenido y comunicado la conciencia de la necesidad de la administración de los proyectos de TI.
PO10 NM 2.2
La organización está en proceso de desarrollar y utilizar algunas técnicas y métodos proyecto por proyecto.
PO10 NM 2.3
Los proyectos de TI han definido objetivos técnicos y de negocio de manera informal.
PO10 NM 2.4
Se tiene participación limitada de los interesados en la administración de los proyectos de TI.
PO10 NM 2.5
Las directrices iniciales se han elaborado para muchos aspectos de la administración de proyectos.
PO10 NM 2.6
La aplicación a proyectos de las directrices administrativas se deja a discreción de cada gerente de proyecto.
No
Nivel Superior
42 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO PO10 NM 3
Nivel de Madurez 3 - Proceso definido Si
PO10 NM 3.1
El proceso y la metodología de administración de proyectos de TI han sido establecidos y comunicados.
PO10 NM 3.2
Los proyectos de TI se definen con los objetivos técnicos y de negocio adecuados.
PO10 NM 3.3
La alta dirección del negocio y de TI, empiezan a comprometerse y a participar en la administración de los proyectos de TI.
PO10 NM 3.4
Se ha establecido una oficina de administración de proyectos dentro de TI, con roles y responsabilidades iniciales definidas.
PO10 NM 3.5
Los proyectos de TI se monitorean, con puntos clave, calendarios y mediciones de presupuesto y desempeño definidos y actualizados.
PO10 NM 3.6
Se cuenta con capacitación para la administración de proyectos.
PO10 NM 3.7
La capacitación en administración de proyectos es un resultado principalmente de las iniciativas individuales del equipo.
PO10 NM 3.8
Los procedimientos de aseguramiento de calidad y las actividades de implementación possistema han sido definidos, pero no se aplican de manera amplia por parte de los gerentes de TI.
PO10 NM 3.9
Los proyectos se empiezan a administrar como portafolios.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO10 NM 4
Nivel de Madurez 4 - Administrado y medible Si
PO10
PO10 NM 4.1
La administración requiere que se revisen métricas y lecciones aprendidas estandarizadas y formales después de terminar cada proyecto.
PO10 NM 4.2
La administración de proyectos se mide y evalúa a través de la organización y no solo en TI.
PO10 NM 4.3
Las mejoras al proceso de administración de proyectos se formalizan y comunican, y los miembros del equipo reciben capacitación sobre estas mejoras.
PO10 NM 4.4
La gerencia de TI implementa una estructura organizacional de proyectos con roles, responsabilidades y criterios de desempeño documentados.
PO10 NM 4.5
Los criterios para evaluar el éxito en cada punto clave se han establecido.
PO10 NM 4.6
El valor y el riesgo se miden y se administran, antes, durante y al final de los proyectos.
PO10 NM 4.7
Cada vez más, los proyectos abordan las metas organizacionales, en lugar de abordar solamente las específicas a TI.
PO10 NM 4.8
Se tiene un apoyo fuerte y activo a los proyectos por parte de los patrocinadores de la alta dirección, así como de los interesados.
PO10 NM 4.9
La capacitación relevante sobre administración de proyectos se planea para el equipo en la oficina de proyectos y a lo largo de la función de TI.
No
Nivel Superior
43 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO PO10 NM 5
Nivel de Madurez 5 - Optimizado
Referencias Si
PO10
PO10 NM 5.1
Se encuentra implementada una metodología comprobada de ciclo de vida de proyectos, la cual se refuerza y se integra en la cultura de la organización completa.
PO10 NM 5.2
Se ha implementado una iniciativa continua para identificar e institucionalizar las mejores prácticas de administración de proyectos.
PO10 NM 5.3
Se ha definido e implementado una estrategia de TI para contratar el desarrollo y los proyectos operativos.
PO10 NM 5.4
Una oficina de administración de proyectos integrada es responsable de los proyectos y programas desde su concepción hasta su post - implementación.
PO10 NM 5.5
La planeación de programas y proyectos en toda la organización garantiza que los recursos de TI y del usuario se utilizan de la mejor manera para apoyar las iniciativas estratégicas.
No
44 de 152
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Matriz de Calificación
OBJETIVOS DE CONTROL AI1
Índice
AI 1 Identificar Soluciones Automatizadas
EVALUE CORRECTAMENTE EL AI 1.1 AI 1.1
Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio. Si
AI 1.1.1
Se identifican, priorizan, especifican y acuerdan los requerimientos de negocio funcionales y técnicos que cubran el alcance completo de todas las iniciativas necesarias para lograr los resultados esperados de los programas de inversión en TI.
AI 1.1.2
Se define los criterios de aceptación de los requerimientos.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Las iniciativas incluyen: AI 1.1.3
1. Los cambios requeridos en la naturaleza del negocio.
AI 1.1.4
2. Los procesos del negocio.
AI 1.1.5
3. Las habilidades y competencias del personal.
AI 1.1.6
4. La estructura organizacional .
AI 1.1.7
5. La tecnología de apoyo. Los requerimientos consideran:
AI 1.1.8
1. Las necesidades funcionales.
AI 1.1.9
2. La dirección tecnológica de la empresa.
AI 1.1.10
3. El desempeño
AI 1.1.11
4. El costo.
AI 1.1.12
5. La confiabilidad.
AI 1.1.13
6. La compatibilidad.
AI 1.1.14
7. La auditabilidad.
AI 1.1.15
8. La seguridad.
AI 1.1.16
9. La disponibilidad y continuidad.
AI 1.1.17
10. Ergonomía.
AI 1.1.18
11. La funcionabilidad.
AI 1.1.19
12. El cumplimiento de la legislación de la empresa.
AI 1.1.20
Se establecen procesos para garantizar y administrar la integridad, exactitud y la validez de los requerimientos del negocio, como base para el control de la adquisición y el desarrollo continuo de sistemas.
AI 1.1.21
Estos requerimientos son propiedad del patrocinador del negocio.
EVALUE CORRECTAMENTE EL AI 1.2 AI 1.2
Reporte de análisis de riesgos Si
AI 1.2.1
No
No Aplica
Se identifica, documenta y analiza los riesgos asociados con los procesos del negocio como parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos incluyen:
AI1
AI 1.2.2
1. Las amenazas a la integridad.
AI 1.2.3
2. La seguridad.
AI 1.2.4
3. La disponibilidad y privacidad de los datos.
AI 1.2.5
4. El cumplimiento de las leyes y reglamentos
45 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 1.3 AI 1.3
Estudios de factibilidad y formulación de rutas alternativas de acción Si
AI 1.3.1
Se desarrollar un estudio de factibilidad que examine la posibilidad de implementación de los requerimientos.
AI 1.3.2
Se identifican cursos alternativos de acción para el software, hardware, servicios y habilidades que cumplen los requerimientos establecidos, tanto funcionales como técnicos del negocio.
AI 1.3.3
Se evalúa la factibilidad tecnológica y económica (costo potencial y análisis de beneficios) de cada uno de los cursos de acción identificados en el contexto de los programas de inversión en TI actuales.
AI 1.3.4
Se disponen de iteraciones en el desarrollo del estudio de factibilidad, a medida que factores tales como los cambios a los procesos del negocio, la tecnología y las habilidades son evaluados.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
La administración del negocio, apoyada por la función de TI: AI 1.3.5
1. Evalúa la factibilidad y los cursos alternativos de acción.
AI 1.3.6
2. Realiza las recomendaciones al patrocinador del negocio.
EVALUE CORRECTAMENTE EL AI 1.4 AI 1.4
Requerimientos, decisión de factibilidad y aprobación. Si
AI1
AI 1.4.1
El patrocinador del negocio aprueba y autoriza los requisitos del negocio tanto funcionales como técnicos, así como los reportes de estudio de factibilidad en las etapas clave predeterminada.
AI 1.4.2
La autorización se realiza después a que la revisión de calidad sea satisfactoria.
AI 1.4.3
El patrocinador del negocio tiene la decisión final con respecto a la elección de la solución y al enfoque de adquisición.
No
No Aplica
46 de 152
Matriz de Calificación
NIVELES DE MADUREZ AI1
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC AI1 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
AI1 NM 1.1
Se tiene conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas.
AI1 NM 1.2
Grupos individuales se reúnen para analizar las necesidades de manera informal y los requerimientos se documentan algunas veces.
AI1 NM 1.3
Los individuos identifican soluciones con base en una conciencia limitada de mercado o como respuesta a ofertas de proveedores.
AI1 NM 1.4
Se tiene una investigación o análisis estructurado mínimo de la tecnología disponible.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA AI1 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
AI1 NM 2.1
Se tienen algunos enfoques intuitivos para identificar que se tienenn soluciones de TI y éstos varían a lo largo del negocio.
AI1 NM 2.2
Las soluciones se identifican de manera informal con base en la experiencia interna y en el conocimiento de la función de TI.
AI1 NM 2.3
El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave.
AI1 NM 2.4
La calidad de la documentación y de la toma de decisiones varia de forma considerable.
AI1 NM 2.5
Se usan enfoques no estructurados para definir los requerimientos e identificar soluciones tecnológicas.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO AI1 NM 3
Nivel de Madurez 3 - Proceso definido Si
AI1 NM 3.1
AI1 NM 3.2
AI1 NM 3.3
AI1 NM 3.4
AI1
No
Nivel Superior
Se cuentan con enfoques claros y estructurados para determinar las soluciones de TI. El enfoque para la determinación de las soluciones de TI requiere la consideración de alternativas evaluadas contra los requerimientos del negocio o del usuario, las oportunidades tecnológicas, la factibilidad económica, las evaluaciones de riesgo y otros factores. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño, así como prioridad del requerimiento de negocio original. Se usan enfoques estructurados para definir requerimientos e identificar soluciones de TI.
47 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE AI1 NM 4
Nivel de Madurez 4 - Administrado y medible Si
AI1 NM 4.1
Se tiene una metodología establecida para la identificación y la evaluación de las soluciones de TI y se usa para la mayoría de los proyectos.
AI1 NM 4.2
La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente.
AI1 NM 4.3
Los requerimientos están bien estructurados.
AI1 NM 4.4
Se consideran soluciones alternativas, incluyendo el análisis de costos y beneficios.
AI1 NM 4.5
La metodología es clara, definida, generalmente entendida y medible.
AI1 NM 4.6
Se tiene una interfaz definida de forma clara entre la administración de TI y la del negocio para la identificación y evaluación de las soluciones de TI.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO AI1 NM 5
Nivel de Madurez 5 - Optimizado Si
AI1
AI1 NM 5.1
La metodología para la identificación y evaluación de las soluciones de TI está sujeta a una mejora continua.
AI1 NM 5.2
La metodología de adquisición e implementación tiene la flexibilidad para proyectos de grande y de pequeña escala.
AI1 NM 5.3
La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas.
AI1 NM 5.4
La metodología en sí misma genera documentación en una estructura predefinida que hace que la producción y el mantenimiento sean eficientes.
AI1 NM 5.5
Con frecuencia, se identifican nuevas oportunidades de uso de la tecnología para ganar una ventaja competitiva, ejercer influencia en la re-ingeniería de los procesos de negocio y mejorar la eficiencia en general.
AI1 NM 5.6
La administración detecta y toma medidas si las soluciones de TI se aprueban sin considerar tecnologías alternativas o los requerimientos funcionales del negocio.
No
48 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL AI2
Índice
AI 2 Adquirir y Mantener Software de Aplicación
EVALUE CORRECTAMENTE EL AI 2.1 AI 2.1
Diseño de alto nivel Si
AI 2.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se traduce los requerimientos del negocio a una especificación de diseño de alto nivel para desarrollo de software que tome en cuenta la directivas tecnológicas, la arquitectura de información dentro de la organización y la aprobación de las especificaciones para garantizar que el diseño de alto nivel responde a los requerimientos.
EVALUE CORRECTAMENTE EL AI 2.2 AI 2.2
Diseño detallado Si
AI 2.2.1
Se prepara el diseño detallado y los requerimientos técnicos del software de aplicación.
AI 2.2.2
Se define el criterio de aceptación de los requerimientos.
AI 2.2.3
Se aprueba los requerimientos para garantizar que corresponden al diseño de alto nivel.
No
No Aplica
Los requerimientos incluyen pero no deben estar limitados a: AI 2.2.4
1. La definición y documentación de los requerimientos de entrada.
AI 2.2.5
2. La definición de interfaces.
AI 2.2.6
3. La interface de usuario.
AI 2.2.7
4. El diseño para la recopilación de datos fuente.
AI 2.2.8
5. La especificación del programa.
AI 2.2.9
6. La definición y documentación de los requerimientos de archivo.
AI 2.2.10
7. Los requerimientos de procesamiento.
AI 2.2.11
8. La definición de requerimientos de salida.
AI 2.2.12
9. El control y auditabilidad.
AI 2.2.13
10. La seguridad y disponibilidad.
AI 2.2.14 AI 2.2.15
AI2
11. Las pruebas. Se realiza una reevaluación para cuando se presenten discrepancias técnicas o lógicas significativas durante el desarrollo o mantenimiento.
49 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 2.3 AI 2.3
Control y auditabilidad de las aplicaciones Si
AI 2.3.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se asegura que los controles del negocio se traduzcan correctamente en controles de aplicación, de manera que el procesamiento sea exacto, completo, oportuno, aprobado y auditable. Los aspectos de control y auditabilidad de las aplicaciones considera especialmente:
AI 2.3.2
1. Los mecanismos de autorización y control de acceso.
AI 2.3.3
2. La integridad de la información.
AI 2.3.4
3. El respaldo.
AI 2.3.5
4. El diseño de pistas de auditoría.
EVALUE CORRECTAMENTE EL AI 2.4 AI 2.4
Seguridad y disponibilidad de las aplicaciones Si
No
No Aplica
Se direcciona la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a: AI 2.4.1
1. Los riesgos identificados.
AI 2.4.2
2. La clasificación de datos.
AI 2.4.3
3. La seguridad de la arquitectura de la información de la organización.
AI 2.4.4
4. El perfil de riesgo. La seguridad de las aplicaciones y los requerimientos de disponibilidad incluyen:
AI2
AI 2.4.5
1. Los derechos de acceso.
AI 2.4.6
2. La administración de privilegios
AI 2.4.7
3. La protección de la información sensible en todas las etapas.
AI 2.4.8
4. La autenticación.
AI 2.4.9
5. La integridad de las transacciones
AI 2.4.10
6. La recuperación automática
50 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 2.5 AI 2.5
Configuración e implementación de software de aplicación adquirido Si
AI 2.5.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se personaliza e implementa la función automatizada adquirida con el uso de procedimientos de configuración, aceptación y prueba. Los aspectos para personalizar e implementar la función automatizada adquirida incluyen:
AI 2.5.2
1. La validación contra los términos contractuales
AI 2.5.3
2. La arquitectura de información de la organización
AI 2.5.4
3. Las aplicaciones existentes.
AI 2.5.5
4. La interoperabilidad con las aplicaciones existentes
AI 2.5.6
5. Los sistemas de bases de datos,
AI 2.5.7
6. La eficiencia en el desempeño del sistema,
AI 2.5.8
7. La documentación y los manuales de usuario.
AI 2.5.9
8. La integración y planes de prueba del sistema
EVALUE CORRECTAMENTE EL AI 2.6 AI 2.6
Actualizaciones importantes en sistemas existentes Si
AI 2.6.1
No
No Aplica
Se sigue un proceso de desarrollo similar al de desarrollo de sistemas nuevos en el caso que se presenten modificaciones importantes en los sistemas existentes, que resulten en un cambio significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar incluyen:
AI 2.6.2
1. El análisis de impacto.
AI 2.6.3
2. La justificación costo/beneficio
AI 2.6.4
3. La administración de requerimientos.
EVALUE CORRECTAMENTE EL AI 2.7 AI 2.7
Desarrollo de software aplicativo Si
AI 2.7.1
Se garantiza que la funcionalidad de automatización se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y documentación y los requerimientos de calidad.
AI 2.7.2
Se aprueba y autoriza cada etapa clave del proceso de desarrollo de software aplicativo, dando seguimiento a la terminación exitosa de revisiones de funcionalidad, desempeño y calidad.
No
No Aplica
Los aspectos a considerar en la aprobación y autorización de cada etapa incluyen:
AI2
AI 2.7.3
1. La aprobación de las especificaciones de diseño que satisfacen los requerimientos de negocio, funcionales y técnicos.
AI 2.7.4
2. La aprobación de las solicitudes de cambio
AI 2.7.5
3. La confirmación de que el software aplicativo es compatible con la producción y está listo para su migración
AI 2.7.6
4. La garantía de que se identifican y consideran todos los aspectos legales y contractuales para el software aplicativo que desarrollan terceros
51 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 2.8 AI 2.8
Aseguramiento de la Calidad del Software Si
AI 2.8.1
Se desarrolla, implementa los recursos y ejecuta un plan de aseguramiento de calidad del software
AI 2.8.2
Se obtiene la calidad que se especifica en la definición de los requerimientos y en las políticas y procedimientos de calidad de la organización.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Los asuntos a considerar en el plan de aseguramiento de calidad incluyen: AI 2.8.3
1. La especificación del criterio de calidad
AI 2.8.4
2. Los procesos de validación y verificación, incluyendo inspección, revisión de algoritmos y código fuente y pruebas.
EVALUE CORRECTAMENTE EL AI 2.9 AI 2.9
Administración de los requerimientos de aplicaciones Si
No
No Aplica
Se garantizar que durante el diseño, desarrollo e implementación, se da seguimiento a: AI 2.9.1
1. Los estados de los requerimientos particulares (incluyendo todos los requerimientos rechazados)
AI 2.9.2
2. Las modificaciones a los requerimientos aprobados a través de un proceso establecido de administración de cambios.
EVALUE CORRECTAMENTE EL AI 2.10 AI 2.10
Mantenimiento de software aplicativo Si
AI 2.10.1
No
No Aplica
Se desarrolla una estrategia y un plan para el mantenimiento, así como la puesta en marcha de aplicaciones de software. Los asuntos a considerar en el plan de mantenimiento y puesta en marcha de aplicaciones de software incluyen:
AI2
AI 2.10.2
1. La puesta en marcha planeada y controlada.
AI 2.10.3
2. La planeación de recursos
AI 2.10.4
3. La corrección de defectos de programa y fallas
AI 2.10.5
4.Las pequeñas mejoras
AI 2.10.6
5. El mantenimiento de documentación
AI 2.10.7
6. Los cambios de emergencia
AI 2.10.8
7. La interdependencia con otras aplicaciones e infraestructura
AI 2.10.9
8. La estrategias de actualización
AI 2.10.10
9. Las condiciones contractuales tales como aspectos de soporte y actualizaciones
AI 2.10.11
10. La revisión periódica de acuerdo a las necesidades del negocio
AI 2.10.12
11. Los riegos y requerimientos de seguridad.
52 de 152
Matriz de Calificación
NIVELES DE MADUREZ AI2
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC AI2 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
AI2 NM 1.1
Se tiene conciencia de la necesidad de contar con un proceso de adquisición y mantenimiento de aplicaciones.
AI2 NM 1.2
Los enfoques para la adquisición y mantenimientos de software aplicativo varían de un proyecto a proyecto.
AI2 NM 1.3
Es probable que se adquieran en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte.
AI2 NM 1.4
Se tiene poca consideración hacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA AI2 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
AI2 NM 2.1
Se tiene diferentes, pero similares procesos de adquisición y mantenimiento de aplicaciones basados en la experiencia dentro de la función de TI.
AI2 NM 2.2
El mantenimiento es a menudo problemático y sufre cuando se pierde el conocimiento interno de la organización
AI2 NM 2.3
Se tiene poca consideración hacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO AI2 NM 3
Nivel de Madurez 3 - Proceso definido Si
AI2
AI2 NM 3.1
Se tiene un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo.
AI2 NM 3.2
El proceso de mantenimiento de software aplicativo va de acuerdo con la estrategia de TI y del negocio.
AI2 NM 3.3
Se intenta aplicar los procesos de manera consistente a través de diferentes aplicaciones y proyectos.
AI2 NM 3.4
Las metodologías son por lo general, inflexibles y difíciles de aplicar en todos los casos, por lo que es muy probable que se omitan pasos.
AI2 NM 3.5
Las actividades de mantenimiento se planean, programan y coordinan.
No
Nivel Superior
53 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE AI2 NM 4
Nivel de Madurez 4 - Administrado y medible Si
AI2 NM 4.1
Se cuenta con una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación
AI2 NM 4.2
Se tienen mecanismos de aprobación documentados y acordados, para garantizar que se sigan todos los pasos y se autoricen las excepciones.
AI2 NM 4.3
Han evolucionado prácticas y procedimientos para ajustarlos a la medida de la organización, los utilizan todo el personal y son apropiados para la mayoría de los requerimientos de aplicación.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO AI2 NM 5
Nivel de Madurez 5 - Optimizado Si
AI2
AI2 NM 5.1
Las prácticas de adquisición y mantenimiento de software aplicativo se alinean con el proceso definido.
AI2 NM 5.2
El enfoque es con base en componentes, con aplicaciones predefinidas y estandarizadas que corresponden a las necesidades del negocio.
AI2 NM 5.3
El enfoque se extiende para toda la empresa.
AI2 NM 5.4
La metodología de adquisición y mantenimiento presenta un buen avance y posicionamiento estratégico rápido, que permite un alto grado de reacción y flexibilidad para responder a requerimientos cambiantes del negocio.
AI2 NM 5.5
La metodología de adquisición e implementación de software aplicativo ha sido sujeta a mejora continua y se soporta con bases de datos internas y externas que contienen materiales de referencia y las mejores prácticas.
AI2 NM 5.6
La metodología produce documentación dentro de una estructura predefinida que hace eficiente la producción y mantenimiento.
No
54 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL AI3
Índice
AI 3 Adquirir y Mantener Infraestructura Tecnológica
EVALUE CORRECTAMENTE EL AI 3.1 AI 3.1
Plan de adquisición de infraestructura tecnológica Si
AI 3.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se establece un plan para adquirir, implementar y mantener la infraestructura tecnológica.
El plan para adquirir, implementar y mantener la infraestructura tecnológica: AI 3.1.2 AI 3.1.3
1. Satisface los requerimientos técnicos y funcionales del negocio establecidos. 2. Está de acuerdo con la dirección tecnológica de la organización. El plan considera a futuro:
AI 3.1.4
1. La flexibilidad para mejoras de capacidad:
AI 3.1.5
2. Los costos de transición.
AI 3.1.6
3. Los riesgos tecnológicos.
AI 3.1.7
4. La vida útil de la inversión para actualizaciones de tecnología. Al añadir nueva capacidad tecnológica se evalúa:
AI 3.1.8
1. Los costos de complejidad.
AI 3.1.9
2. La viabilidad comercial del proveedor.
AI 3.1.10
3. El producto.
EVALUE CORRECTAMENTE EL AI 3.2 AI 3.2
Protección y disponibilidad del recursos de infraestructura Si
AI3
AI 3.2.1
Se implementa las medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura.
AI 3.2.2
Las medidas protegen los recursos y garantizan su disponibilidad e integridad.
AI 3.2.3
Se define y comprende claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura.
AI 3.2.4
Las medidas se monitorean y evalúan su uso.
No
No Aplica
55 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 3.3 AI 3.3
Mantenimiento de la infraestructura Si
AI 3.3.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se desarrolla una estrategia y un plan para el mantenimiento de la infraestructura que garantice que los cambios sean controlados de acuerdo con los procedimientos de administración de cambios de la organización. El mantenimiento de la infraestructura incluye una revisión periódica de:
AI 3.3.2
1. Las necesidades del negocio
AI 3.3.3
2. La administración de actualizaciones (parches).
AI 3.3.4
3. Las estrategias de actualización.
AI 3.3.5
4. Los riesgos.
AI 3.3.6
5. La evaluación de vulnerabilidades.
AI 3.3.7
6. Los requerimientos de seguridad.
EVALUE CORRECTAMENTE EL AI 3.4 AI 3.4
Factibilidad del ambiente. Si
AI 3.4.1
No
No Aplica
Se establecen los ambientes de desarrollo y prueba para soportar efectiva y eficientemente las pruebas de factibilidad e integración de las aplicaciones e infraestructura, en las primeras fases de los procesos adquisición y desarrollo. Los ambientes de desarrollo y prueba consideran:
AI3
AI 3.4.2
1. La funcionalidad.
AI 3.4.3
2. La configuración de hardware.
AI 3.4.4
3. La configuración de software.
AI 3.4.5
4. Las pruebas de integración.
AI 3.4.6
5. Las pruebas de desempeño.
AI 3.4.7
6. La migración entre ambientes.
AI 3.4.8
7. El control de versiones.
AI 3.4.9
8. Los datos.
AI 3.4.10
9. Las herramientas de prueba.
AI 3.4.11
10. La seguridad.
56 de 152
Matriz de Calificación
NIVELES DE MADUREZ AI3
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC AI3 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
AI3 NM 1.1
Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto.
AI3 NM 1.2
Aunque se tiene la percepción de que la infraestructura de TI es importante, se carece de un enfoque general consistente.
AI3 NM 1.3
La actividad de mantenimiento reacciona a necesidades de corto plazo.
AI3 NM 1.4
El ambiente de producción es el ambiente de prueba.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA AI3 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
AI3 NM 2.1
Se tiene una coherencia entre el enfoque táctico al adquirir y el mantenimiento a la infraestructura de TI.
AI3 NM 2.2
La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar.
AI3 NM 2.3
Se tiene el conocimiento que la infraestructura de TI es importante, y se apoya en algunas prácticas formales.
AI3 NM 2.4
Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad.
AI3 NM 2.5
Para algunos ambientes, se tiene un ambiente de prueba por separado.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO AI3 NM 3
Nivel de Madurez 3 - Proceso definido Si
AI3
AI3 NM 3.1
Se dispone de un claro, definido y generalmente entendido proceso para adquirir y dar mantenimiento a la infraestructura TI.
AI3 NM 3.2
El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia del negocio de TI, pero no se aplica en forma consistente.
AI3 NM 3.3
Se planea, programa y coordina el mantenimiento.
AI3 NM 3.4
Se tienen ambientes separados para prueba y producción.
No
Nivel Superior
57 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE AI3 NM 4
Nivel de Madurez 4 - Administrado y medible Si
AI3 NM 4.1
Se desarrolla el proceso de adquisición y mantenimiento de la infraestructura de tecnología a tal punto que funciona bien para la mayoría de las situaciones, se le da un seguimiento consistente y se centra en la reutilización.
AI3 NM 4.2
La infraestructura de TI soporta adecuadamente las aplicaciones del negocio.
AI3 NM 4.3
El proceso está bien organizado y es preventivo.
AI3 NM 4.4
Tanto el costo como el tiempo de realización para alcanzar el nivel esperado de escalamiento, flexibilidad e integración se han optimizado parcialmente.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO AI3 NM 5
Nivel de Madurez 5 - Optimizado Si
AI3
AI3 NM 5.1
El proceso de adquisición y mantenimiento de la infraestructura de tecnología es proactivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de la tecnología.
AI3 NM 5.2
Se siguen buenas prácticas respecto a las soluciones de tecnología, y la organización tiene conciencia de las últimas plataformas desarrolladas y herramientas de administración.
AI3 NM 5.3
Se reducen costos al racionalizar y estandarizar los componentes de la infraestructura y con el uso de la automatización.
AI3 NM 5.4
Con un alto nivel de conocimiento se puede determinar la forma óptima de mejorar proactivamente el rendimiento, incluyendo la consideración de opciones de contratar servicios externos.
AI3 NM 5.5
La infraestructura de TI se entiende como el factor clave para impulsar el uso de TI.
No
58 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL AI4
Índice
AI 4 Habilitar la Operación y el Uso
EVALUE CORRECTAMENTE EL AI 4.1 AI 4.1
Planificación de soluciones operativas. Si
AI 4.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Como resultado de la introducción o actualización de sistemas automatizados o de infraestructura, se desarrolla un plan para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la elaboración de procedimientos de administración, de usuario y operacionales.
EVALUE CORRECTAMENTE EL AI 4.2 AI 4.2
Transferencia de conocimiento a la administración del negocio Si
AI 4.2.1
No
No Aplica
Se transfiere el conocimiento a la administración de la empresa que les permita asumir la propiedad del sistema y los datos, así como la responsabilidad de ejercer la entrega y calidad del servicio, del control interno, y de los procesos administrativos de la aplicación. La transferencia de conocimiento incluye:
AI4
AI 4.2.2
1. La aprobación de acceso.
AI 4.2.3
2. La administración de privilegios.
AI 4.2.4
3. La segregación de tareas.
AI 4.2.5
4. Los controles automatizados del negocio.
AI 4.2.6
5. El respaldo.
AI 4.2.7
6. La recuperación.
AI 4.2.8
7. La seguridad física
AI 4.2.9
8. El archivo de la documentación fuente.
59 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 4.3 AI 4.3
Transferencia de conocimiento a usuarios finales Si
AI 4.3.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se transfiere el conocimiento y las habilidades para que los usuarios finales utilicen con efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del negocio. La transferencia de conocimiento incluye:
AI 4.3.2
1. El desarrollo de un plan de capacitación para hacer frente a la formación inicial y continua.
AI 4.3.3
2. El desarrollo de habilidades.
AI 4.3.4
3. Los materiales de capacitación.
AI 4.3.5
4. Los manuales de usuario.
AI 4.3.6
5. Los manuales de procedimientos.
AI 4.3.7
6. La ayuda en línea.
AI 4.3.8
7. La asistencia a usuarios. (Soporte de mesa de servicios)
AI 4.3.9
8. La identificación de usuario clave.
AI 4.3.10
9. La evaluación.
EVALUE CORRECTAMENTE EL AI 4.4 AI 4.4
Transferencia de conocimiento al personal de operaciones y soporte. Si
AI 4.4.1
No
No Aplica
Se transfiere el conocimiento y las habilidades al personal de soporte técnico y de operaciones que permita entregar, apoyar y mantener de manera efectiva y eficiente, las aplicaciones y la infraestructura asociada a éstas, de acuerdo a los niveles de servicio requeridos. La transferencia del conocimiento incluye
AI4
AI 4.4.2
1. La capacitación inicial y continuo.
AI 4.4.3
2. El desarrollo de habilidades.
AI 4.4.4
3. Los materiales de capacitación.
AI 4.4.5
4. Los manuales de operación.
AI 4.4.6
5. Los manuales de procedimientos.
AI 4.4.7
6. Los escenarios de atención al usuario. (service desk)
60 de 152
Matriz de Calificación
NIVELES DE MADUREZ AI4
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC AI4 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
AI4 NM 1.1
Se tiene la percepción de que la documentación de proceso es necesaria.
AI4 NM 1.2
La documentación se genera ocasionalmente y se distribuye en forma desigual a grupos limitados.
AI4 NM 1.3
Mucha de la documentación y muchos de los procedimientos no están actualizados.
AI4 NM 1.4
Los materiales de capacitación tienden a ser esquemas únicos con calidad variable.
AI4 NM 1.5
Prácticamente no se cuenta con una integración de los procedimientos a través de los distintos sistemas y unidades de negocio.
AI4 NM 1.6
No se tienen aportes de las unidades de negocio en el diseño de programas de capacitación.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA AI4 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
AI4 NM 2.1
Se utilizan enfoques similares para generar procedimientos y documentación, pero no se basan en un enfoque estructural o marco de trabajo.
AI4 NM 2.2
No se tiene un enfoque uniforme para el desarrollo de procedimientos de usuario y de operación.
AI4 NM 2.3
Individuos o equipo de proyecto generan los materiales de capacitación, y la calidad depende de los individuos que se involucran.
AI4 NM 2.4
Los procedimientos y la calidad de apoyo al usuario van desde pobre a muy bueno, con muy poca coherencia e integración a través de la organización.
AI4 NM 2.5
Se proporcionan o facilitan programas de capacitación para los usuarios y el negocio, pero no se dispone de un plan general para ofrecer o dar capacitación.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO AI4 NM 3
Nivel de Madurez 3 - Proceso definido Si
AI4
AI4 NM 3.1
Se tiene un esquema bien definido, aceptado y comprendido para documentación del usuario, manuales de operación y materiales de capacitación.
AI4 NM 3.2
Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ella.
AI4 NM 3.3
Las correcciones a la documentación y a los procedimientos se realizan de forma reactiva.
AI4 NM 3.4
Los procedimientos se encuentran disponibles fuera de línea y se pueden acceder y mantener en caso de desastre.
AI4 NM 3.5
Se tiene un proceso que especifica las actualizaciones de procedimientos y los materiales de formación para que sea un entregable explícito de un proyecto de cambio.
AI4 NM 3.6
A pesar de que se tienen planteamientos definidos, el contenido actual de éstos varían debido a que no se cuenta con un control estándar para garantizar su cumplimiento.
AI4 NM 3.7
Los usuarios se involucran en los procesos informalmente.
AI4 NM 3.8
Cada vez se utilizan más herramientas automatizadas en la generación y distribución de procedimientos.
AI4 NM 3.9
Se planea y programa tanto la capacitación de los usuarios como del negocio.
No
Nivel Superior
61 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE AI4 NM 4
Nivel de Madurez 4 - Administrado y medible Si
AI4 NM 4.1
Se tiene un esquema definido para procedimiento de mantenimiento y materiales de capacitación que cuentan con el apoyo de la administración de TI.
AI4 NM 4.2
El enfoque considerado para los procedimientos de mantenimiento y los manuales de capacitación, cubren todos los sistemas y las unidades de negocio, de manera que los procesos puedan ser vistos desde una perspectiva del negocio.
AI4 NM 4.3
Los procedimientos y materiales de capacitación se integran a fin de incluir las interdependencias y las interfaces.
AI4 NM 4.4
Se tienen controles para garantizar que se adhieren a los estándares y que se desarrollan y mantienen procedimientos para todos los procesos.
AI4 NM 4.5
La retroalimentación del negocio y del usuario sobre la documentación y la capacitación se recopila y evalúa como parte de un proceso continuo de mejora.
AI4 NM 4.6
Los materiales de documentación y capacitación se encuentran generalmente a un buen nivel, predecible, de confiabilidad y disponibilidad.
AI4 NM 4.7
Se implementa un proceso emergente para el uso de la documentación y administración automatizada de procedimiento.
AI4 NM 4.8
El desarrollo automatizado de procedimientos se integra cada vez más con el desarrollo de sistemas aplicativos, facilitando la consistencia y el acceso a los usuario.
AI4 NM 4.9
La capacitación de usuario y de negocio responde a las necesidades de la empresa.
AI4 NM 4.10
La administración de TI está desarrollando medidas para el desarrollo y la entrega de documentación, materiales y programas de capacitación.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO AI4 NM 5
Nivel de Madurez 5 - Optimizado Si
AI4
AI4 NM 5.1
El proceso para la documentación de usuario y de operación se mejora constantemente con la adopción de nuevas herramientas o métodos.
AI4 NM 5.2
Los materiales de procedimiento y de capacitación se tratan como una base de conocimiento en evolución constante que se mantiene en forma electrónica, con el uso de administración de conocimiento actualizada, workflow y tecnologías de distribución, que los hacen accesibles y fáciles de mantener.
AI4 NM 5.3
El material de documentación y capacitación se actualiza para reflejar los cambios en la organización, en la operación y en el software.
AI4 NM 5.4
Tanto el desarrollo de materiales de documentación y capacitación, como la entrega de programas de capacitación se encuentran completamente integrados con el negocio y con las definiciones de procesos del negocio, siendo así un apoyo a los requerimientos de toda la organización y no tan sólo procedimientos orientados a TI.
No
62 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL AI5
Índice
AI 5 Adquirir Recursos de TI
EVALUE CORRECTAMENTE EL AI 5.1 AI 5.1
Control de adquisición Si
AI 5.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se desarrolla y sigue un conjunto de procedimientos y estándares consistentes con el proceso general de adquisiciones de la organización y con la estrategia de adquisición, para asegurar que la adquisición de infraestructura, instalaciones, hardware, software y servicios relacionados con TI, satisfagan los requerimientos del negocio.
EVALUE CORRECTAMENTE EL AI 5.2 AI 5.2
Administración de contratos con proveedores Si
AI 5.2.1
No
No Aplica
Se elabora un procedimiento para establecer, modificar y concluir contratos que apliquen a todos los proveedores. El procedimiento cubre al mínimo responsabilidades y obligaciones:
AI 5.2.2
1. Legales.
AI 5.2.3
2. Financieras.
AI 5.2.4
3. Organizacionales.
AI 5.2.5
4. Documentales.
AI 5.2.6
5. De desempeño.
AI 5.2.7
6. De seguridad.
AI 5.2.8
7. De propiedad intelectual.
AI 5.2.9
8. Finalización de contrato.
AI 5.2.10
9. Obligaciones (que incluyan cláusulas de penalización).
AI 5.2.11
Se revisan los contratos y modificaciones a contratos por los asesores legales.
EVALUE CORRECTAMENTE EL AI 5.3 AI 5.3
Selección de proveedores Si
AI 5.3.1
AI5
No
No Aplica
Se selecciona a los proveedores de acuerdo una práctica justa y formal para garantizar la escogencia mas viable, con base en los requerimientos que se han desarrollado con la participación de los proveedores potenciales y acordados entre el cliente y el (los) proveedor (es).
63 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 5.4 AI 5.4
Adquisición de software Si
AI 5.4.1
Se asegura la protección de los intereses de la organización en todos los acuerdos contractuales de adquisición.
AI 5.4.2
Se incluye y refuerza los derechos y obligaciones de todas las partes en los términos contractuales para la adquisición de software involucrados en el suministro y uso continuo de software.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Los derechos y obligaciones incluyen: AI 5.4.3
1. La propiedad
AI 5.4.4
2. La licencia de propiedad intelectual.
AI 5.4.5
3. El mantenimiento.
AI 5.4.6
4. Las Garantías.
AI 5.4.7
5. El procedimientos de arbitraje.
AI 5.4.8
6. Las condiciones para la actualización.
AI 5.4.9
7. Los aspectos de conveniencia que incluyen seguridad.
AI 5.4.10
8. Los aspectos de conveniencia que incluyen custodia.
AI 5.4.11
9. Las aspectos de conveniencia que incluyan derechos de acceso.
EVALUE CORRECTAMENTE EL AI 5.5 AI 5.5
Adquisición de recursos de desarrollo Si
AI 5.5.1
Se asegura la protección de los intereses de la organización en todos los acuerdos contractuales de adquisición.
AI 5.5.2
Se incluye y refuerza los derechos y obligaciones de todas las partes en los términos contractuales para la adquisición de recursos de desarrollo
No
No Aplica
Los derechos y obligaciones incluyen: AI 5.5.3
1. La propiedad
AI 5.5.4
2. La licencia de propiedad intelectual.
AI 5.5.5
3. Los aspectos de conveniencia para el uso de metodologías de desarrollo.
AI 5.5.6
4. Los aspectos de conveniencia para el uso de lenguajes.
AI 5.5.7
5. Los aspectos de conveniencia para el uso de pruebas.
AI 5.5.8
6. Los aspectos de conveniencia para el uso de procesos de administración de calidad que comprenden los criterios de desempeño requeridos.
AI 5.5.9
7. Los aspectos de conveniencia para el uso de revisión de desempeño.
AI 5.5.10
8. Los aspectos de conveniencia para el uso de términos de pago.
AI 5.5.11
9. Las aspectos de conveniencia para el uso de garantías.
AI 5.5.12
10. Los aspectos de conveniencia para el uso de procedimientos de arbitraje.
AI 5.5.13 AI 5.5.14
AI5
11. Los aspectos de conveniencia incluyendo administración de recursos humanos. 12. Los aspectos de conveniencia para el uso de procesos de administración de recursos humanos y cumplimiento con las políticas de la organización.
64 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 5.6 AI 5.6
Adquisición de infraestructura, instalaciones y servicios relacionados
Referencias Si
AI 5.6.1
No
No Aplica
Se incluye y se refuerza los derechos y obligaciones de todas las partes en los términos contractuales, que comprende los criterios de aceptación para la adquisición de infraestructura, instalaciones y servicios relacionados. Los derechos y obligaciones incluyen:
AI5
AI 5.6.2
1. Los niveles de servicio.
AI 5.6.3
2. Los procedimientos de mantenimiento.
AI 5.6.4
3. Los controles de acceso.
AI 5.6.5
4. La seguridad.
AI 5.6.6
5. La revisión de desempeño.
AI 5.6.7
6. Los términos de pago.
AI 5.6.8
7. Los procedimientos de arbitraje.
65 de 152
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Matriz de Calificación
NIVELES DE MADUREZ AI5
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC AI5 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
AI5 NM 1.1
La organización ha reconocido la necesidad de tener políticas y procedimientos documentados que enlacen la adquisición de TI con el proceso general de adquisiciones de la organización.
AI5 NM 1.2
Los contratos para la adquisición de recursos de TI son elaborados y administrados por gerentes de proyecto y otras personas que ejercen su juicio profesional, más que como resultados de procedimientos y políticas formales.
AI5 NM 1.3
Sólo se tiene una relación ad hoc (para un fin determinado) entre los procesos de administración de adquisiciones, contratos corporativos y TI.
AI5 NM 1.4
Los contratos de adquisición se administran a la terminación de los proyectos, en lugar de una base continua.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA AI5 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
AI5 NM 2.1
Se tiene una conciencia organizacional de la necesidad de tener políticas y procedimientos básicos para la adquisición de TI.
AI5 NM 2.2
Las políticas y procedimientos se integran parcialmente con el proceso general de adquisición de la organización del negocio.
AI5 NM 2.3
Los procesos de adquisición se utilizan principalmente en proyectos mayores y muy visibles.
AI5 NM 2.4
Se determinan responsabilidades y rendición de cuentas para la administración de adquisición y contrato de TI según la experiencia particular del gerente de contrato.
AI5 NM 2.5
Se reconoce la importancia de administrar proveedores y las relaciones con ellos, pero se manejan con base en la iniciativa individual.
AI5 NM 2.5
Los procesos de contrato se utilizan principalmente en proyectos mayores o muy visibles.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO AI5 NM 3
Nivel de Madurez 3 - Proceso definido Si
AI5
AI5 NM 3.1
La administración establece políticas y procedimientos para la adquisición de TI.
AI5 NM 3.2
Las políticas y procedimientos toman como guía el proceso general de adquisición de la organización.
AI5 NM 3.3
La adquisición de TI se integra altamente con los sistemas generales de adquisición del negocio.
AI5 NM 3.4
Se tienen estándares de TI para la adquisición de recursos de TI
AI5 NM 3.5
Los proveedores de recursos de TI se integran dentro de los mecanismos de administración de proyectos de la organización, desde una perspectiva de administración de contratos.
AI5 NM 3.6
La administración de TI comunica la necesidad de contar con una administración adecuada de adquisiciones y contratos en toda la función de TI
No
Nivel Superior
66 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE AI5 NM 4
Nivel de Madurez 4 - Administrado y medible Si
AI5 NM 4.1
La adquisición de TI se integra totalmente con los sistemas generales de adquisición de la organización.
AI5 NM 4.2
Se utilizan los estándares para la adquisición de recursos de TI en todos los procesos de adquisición.
AI5 NM 4.3
Se toman medidas para la administración de contratos y adquisiciones relevantes para los casos del negocio que requieran la adquisición de TI.
AI5 NM 4.4
Se dispone de reportes que soportan los objetivos de negocio.
AI5 NM 4.5
La administración está consiente, por lo general, de las excepciones a las políticas y procedimientos para la adquisición de TI.
AI5 NM 4.6
Se está desarrollando una administración estratégica de relaciones.
AI5 NM 4.7
La administración de TI refuerza el uso de procesos de administración para adquisición y contratos en todas las adquisiciones, mediante la revisión de la medición al desempeño.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO AI5 NM 5
Nivel de Madurez 5 - Optimizado Si
AI5
AI5 NM 5.1
La administración ha establecido los procesos y los recursos para la adquisición de TI.
AI5 NM 5.2
La administración asegura el cumplimiento de las políticas y procedimientos de adquisición de TI.
AI5 NM 5.3
Se toman las medidas en la administración de contratos y adquisiciones relevantes en casos de negocio para adquisición de TI.
AI5 NM 5.4
Se establecen buenas relaciones a tiempo con la mayoría de los proveedores y socios, y se mide y monitorea la calidad de estas relaciones.
AI5 NM 5.5
Las relaciones se administran en forma estratégica.
AI5 NM 5.6
Los estándares, políticas y procedimientos de TI para la adquisición de recursos de TI se administran estratégicamente y responden a la medición del proceso.
AI5 NM 5.7
La administración de TI comunica la importancia estratégica de tener una administración apropiada de adquisiciones y contratos a través de la función de TI.
No
67 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL AI6
Índice
AI 6 Administrar Cambios
EVALUE CORRECTAMENTE EL AI 6.1 AI 6.1
Estándares y procedimientos para cambios
Referencias Si
No
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se establece procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para: AI 6.1.1
1. Los cambios a aplicaciones.
AI 6.1.2
2. Los procedimientos.
AI 6.1.3
3. Los procesos.
AI 6.1.4
4. Los parámetros de sistema.
AI 6.1.5
5. Los parámetros de servicio.
AI 6.1.6
6. La plataformas base.
EVALUE CORRECTAMENTE EL AI 6.2 AI 6.2
Evaluación de impacto, priorización y autorización Si
AI 6.2.1
Se asegura que todas las solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos en el sistema operacional y su funcionabilidad.
AI 6.2.2
La evaluación incluye categorización y priorización de los cambios.
AI 6.2.3
Antes de la migración a producción, los cambios son autorizados por los interesados correspondientes.
No
No Aplica
EVALUE CORRECTAMENTE EL AI 6.3 AI 6.3
Cambios de emergencia Si
AI 6.3.1
Se establece un proceso para definir, sensibilizar, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido.
AI 6.3.2
La documentación y pruebas se realizan después de la implementación del cambio de emergencia.
No
No Aplica
EVALUE CORRECTAMENTE EL AI 6.4 AI 6.4
Seguimiento y reporte del estado del cambio Si
No
No Aplica
Se establece un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los interesados relevantes, acerca de:
AI6
AI 6.4.1
1. El estado del cambio de aplicaciones
AI 6.4.2
2. Los procedimientos
AI 6.4.3
3. Los procesos
AI 6.4.4
4. Los parámetros del sistema
AI 6.4.5
5. Los parámetros del servicio
AI 6.4.6
6. Las plataformas base
68 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 6.5 AI 6.5
Cierre y documentación del cambio
Referencias Si
No
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Siempre que se implementan cambios al sistema se actualiza: AI 6.5.1
1. El sistema asociado
AI 6.5.2
2. La documentación de usuario
AI 6.5.3
AI 6.5.4
3. Los procedimientos correspondientes. Se establece un proceso de revisión para garantizar la implementación completa de los cambios.
NIVELES DE MADUREZ AI6
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC AI6 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
AI6 NM 1.1
Se reconoce que los cambios sean administrados y controlados.
AI6 NM 1.2
Las prácticas varían y es muy probable que se puedan dar cambios sin autorización.
AI6 NM 1.3
Se tiene una documentación de cambio pobre o inexistente y la documentación de configuración es incompleta y no confiable.
AI6 NM 1.4
Es posible que ocurran errores junto con interrupciones al ambiente de producción, provocados por una pobre administración de cambios.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA AI6 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
AI6 NM 2.1
Se cuenta con un proceso de administración de cambio informal y la mayoría de los cambios siguen este enfoque; sin embargo, el proceso no está estructurado, es rudimentario y propenso a errores.
AI6 NM 2.2
La exactitud de la documentación de la configuración es inconsistente y de planeación limitada y la evaluación de impacto se da previo al cambio.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO AI6 NM 3
Nivel de Madurez 3 - Proceso definido Si
AI6
AI6 NM 3.1
Se cuenta con un proceso formal definido para la administración del cambio, que incluye la categorización, asignación de prioridades, procedimientos de emergencia, autorización del cambio y puesta en marcha, así como el inicio del cumplimiento.
AI6 NM 3.2
Se establecen soluciones temporales a los problemas y los procesos a menudo se omiten.
AI6 NM 3.3
Aún pueden ocurrir errores y los cambios no autorizados ocurren ocasionalmente.
AI6 NM 3.4
El análisis de impacto de los cambios de TI en las operaciones del negocio se vuelven formales, para apoyar lanzamientos previstos de nuevas aplicaciones y tecnologías.
No
Nivel Superior
69 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE AI6 NM 4
Nivel de Madurez 4 - Administrado y medible Si
AI6 NM 4.1
El proceso de administración de cambio se desarrolla bien y es consistente para todos los cambios. La administración confía que se tienen excepciones mínimas.
AI6 NM 4.2
El proceso es eficiente y efectivo, pero se basa en manuales de procedimientos y controles considerables para garantizar el logro de la calidad.
AI6 NM 4.3
Todos los cambios están sujetos a una minuciosa evaluación del impacto para minimizar la probabilidad de tener problemas de post - producción.
AI6 NM 4.4
Se da un proceso de aprobación de cambios.
AI6 NM 4.5
La documentación de administración de cambios es vigente y correcta, con seguimiento formal a los cambios.
AI6 NM 4.6
La documentación de configuración es generalmente exacta.
AI6 NM 4.7
La planeación e implementación de la administración de cambios en TI se van integrando con los cambios en los procesos de negocio, para asegurar que se resuelven los asuntos referentes a la capacitación, cambio organizacional y continuidad del negocio.
AI6 NM 4.8
Se tiene una coordinación creciente entre la administración de cambio de TI y el rediseño del proceso de negocio.
AI6 NM 4.9
Se tiene un proceso consistente para monitorear la calidad y el desempeño del proceso de administración de cambios.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO AI6 NM 5
Nivel de Madurez 5 - Optimizado Si
AI6
AI6 NM 5.1
El proceso de administración de cambios se revisa con regularidad y se actualiza para permanecer en línea con las buenas prácticas.
AI6 NM 5.2
El proceso de revisión refleja los resultados del monitoreo.
AI6 NM 5.3
La información de la configuración es automatizada y proporciona un control de versión.
AI6 NM 5.4
El seguimiento del cambio es sofisticado e incluye herramientas para detectar software no autorizado y sin licencia.
AI6 NM 5.5
La administración de cambio de TI se integra con la administración de cambio del negocio para garantizar que TI sea un factor que hace posible el incremento de productividad y la creación de nuevas oportunidades de negocio para la organización.
No
70 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL AI7
Índice
AI 7 Instalar y Acreditar Soluciones y Cambios
EVALUE CORRECTAMENTE EL AI 7.1 AI 7.1
Entrenamiento Si
AI 7.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se capacita al personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de capacitación e implementación y a los materiales asociados, como parte de cada proyecto de desarrollo, implementación o modificación de sistemas de información.
EVALUE CORRECTAMENTE EL AI 7.2 AI 7.2
Plan de prueba Si
AI 7.2.1
Se establece un plan de pruebas y se obtiene la aprobación de las partes relevantes.
AI 7.2.2
El plan de pruebas se basa en los estándares de toda la organización y define roles, responsabilidades y criterios de éxito.
No
No Aplica
El plan contempla: AI 7.2.3
1. La preparación de exámenes (incluye la preparación del sitio).
AI 7.2.4
2. Los requerimientos de capacitación.
AI 7.2.5
3. La instalación o actualización de un ambiente de pruebas definido.
AI 7.2.6
4. El planear / ejecutar / documentar / retener casos de prueba.
AI 7.2.7
5. El manejo y corrección de errores.
AI 7.2.8
6. La aprobación formal. Con base en la evaluación de riesgos de fallas en el sistema y en la implementación, el plan deberá incluir los requerimientos de prueba de:
AI7
AI 7.2.9
1. De desempeño
AI 7.2.10
2. De stress
AI 7.2.11
3. De usabilidad
AI 7.2.12
4. Del plan piloto
AI 7.2.13
5. Del plan de seguridad.
71 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 7.3 AI 7.3
Plan de implementación Si
AI 7.3.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se establece un plan de implementación y obtener la aprobación de las partes relevantes.
El plan define: AI 7.3.2
1. El diseño de versiones (release),
AI 7.3.3
2. La construcción de paquetes de versiones.
AI 7.3.4
3. Los procedimientos de implementación / instalación.
AI 7.3.5
4. El manejo de incidentes.
AI 7.3.6
5.Los controles de distribución (incluye herramientas).
AI 7.3.7
6. El almacenamiento de software.
AI 7.3.8
7. La revisión de la versión.
AI 7.3.9 AI 7.3.10
8. La documentación de cambios. El plan incluye medidas de respaldo y recuperación.
EVALUE CORRECTAMENTE EL AI 7.4 AI 7.4
Ambiente de prueba Si
AI 7.4.1
Se tiene un ambiente separado para pruebas.
AI 7.4.2
El ambiente de pruebas refleja el ambiente futuro de operaciones (por ejemplo, seguridad similar, controles internos y cargas de trabajo) para permitir pruebas acertadas.
AI 7.4.3
Los procedimientos garantizan que los datos utilizados en el ambiente de pruebas sean representativos de los datos (filtrado si es necesario para ocultar datos confidenciales) que se utilizarán eventualmente en el ambiente de operación.
AI 7.4.4
Se proporciona medidas adecuadas para evitar la divulgación de datos de pruebas sensibles.
AI 7.4.5
Se archiva la documentación de los resultados de las pruebas.
No
No Aplica
EVALUE CORRECTAMENTE EL AI 7.5 AI 7.5
Conversión de sistema y datos Si
AI7
AI 7.5.1
Los métodos de desarrollo de la organización, contemplan para todos los proyectos de desarrollo, implementación o modificación, que todos los elementos necesarios, tales como hardware, software, datos de transacciones, archivos maestros, respaldos y archivos, interfaces con otros sistemas, procedimientos, documentación de sistemas, etc., sean convertidos del viejo al nuevo sistema de acuerdo con un plan preestablecido.
AI 7.5.2
Se desarrolla y mantiene una pista de auditoría de los resultados previos y posteriores a la conversión.
AI 7.5.3
Los propietarios del sistema llevan a cabo una verificación detallada del proceso inicial del nuevo sistema, para confirmar una transición exitosa.
No
No Aplica
72 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 7.6 AI 7.6
Prueba de cambios Si
AI 7.6.1
Se garantiza que se prueban los cambios de acuerdo con el plan de aceptación definido y en base en una evaluación de impacto y recursos.
AI 7.6.2
Las pruebas incluyen el dimensionamiento del desempeño en un ambiente separado de prueba, por parte de un grupo de prueba independiente (de los constructores) antes de comenzar su uso en el ambiente de operación regular.
AI 7.6.3
Las pruebas paralelas o piloto se consideran parte del plan.
AI 7.6.4
Los controles de seguridad se prueban y evalúan antes de la liberación, de manera que se pueda certificar la efectividad de la seguridad.
AI 7.6.5
Se desarrollan y prueban los planes de "fallback / backout" antes de transferir el cambio a producción.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL AI 7.7 AI 7.7
Prueba final de aceptación Si
AI 7.7.1
No
No Aplica
Se garantiza que los procedimientos proporcionan formalmente una evaluación y aprobación de los resultados de prueba por parte de la administración de los departamentos afectados del usuario y de la función de TI, como parte de la aceptación final o prueba de aseguramientos de la calidad de los sistemas de información nuevos o modificados. Las pruebas cubren:
AI 7.7.2
1. Todos los componentes del sistema de información (ejemplo, software aplicativo, instalaciones, la tecnología y los procedimientos de usuario).
AI 7.7.3
2. La garantía que los requerimientos de seguridad de la información se satisfacen para todos los componentes.
AI 7.7.4
Los datos de prueba se guardan para propósitos de pistas de auditoría y para pruebas futuras.
EVALUE CORRECTAMENTE EL AI 7.8 AI 7.8
Transferencia a producción Si
AI 7.8.1
No
No Aplica
Se tienen implementados los procedimientos formales para controlar la transferencia del sistema desde el ambiente de desarrollo al de pruebas, de acuerdo con el plan de implementación. La administración requiere que se obtenga la autorización del propietario del sistema:
AI7
AI 7.8.2
1. Antes de que se mueva el nuevo sistema a producción.
AI 7.8.3
2. Antes de que se descontinúe el viejo sistema, el nuevo sistema opere exitosamente a través de ciclos de producción diarios, mensuales, trimestrales y de fin de año.
73 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL AI 7.9 AI 7.9
Liberación de software Si
AI 7.9.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se garantiza que la liberación del software se regula con procedimientos formales, que aseguren la autorización, acondicionamiento, pruebas de regresión, distribución, transferencia de control, rastreo de estatus, procedimientos de respaldo y notificación de usuario.
EVALUE CORRECTAMENTE EL AI 7.10 AI 7.10
Distribución del sistema Si
AI 7.10.1
No
No Aplica
Se establece procedimientos de control para asegurar la distribución oportuna y correcta, y la actualización de los elementos de configuración aprobados. Los controles consideran:
AI 7.10.2
1. La integridad.
AI 7.10.3
2. La segregación de funciones entre los que construyen, prueban y operan.
AI 7.10.4
3. Las pistas de auditoría de todas las actividades.
EVALUE CORRECTAMENTE EL AI 7.11 AI 7.11
Registro y rastreo de cambios Si
AI 7.11.1
No
No Aplica
Se utiliza un sistema automatizado para controlar los cambios de sistemas de aplicación para apoyar el registro y seguimiento de los cambios realizados a las aplicaciones, procedimientos, procesos, sistemas, parámetros de servicio y las plataformas subyacentes.
EVALUE CORRECTAMENTE EL AI 7.12 AI 7.12
Revisión posterior a la implementación Si
AI 7.12.1
AI7
No
No Aplica
Se establecen procedimientos de acuerdo con los estándares de desarrollo y de cambios de la empresa, que requieren una revisión posterior a la implementación del sistema de información en operación, para evaluar y reportar si el cambio satisface los requerimientos del cliente y entrega los beneficios esperados, de la forma más rentable.
74 de 152
Matriz de Calificación
NIVELES DE MADUREZ AI7
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC AI7 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
AI7 NM 1.1
Se tiene la percepción de la necesidad de verificar y confirmar que las soluciones implementadas sirven para el propósito esperado.
AI7 NM 1.2
Las pruebas se realizan para algunos proyectos, pero la iniciativa de pruebas se deja a los equipos de proyectos particulares y los enfoques que se toman varían.
AI7 NM 1.3
La acreditación formal y la autorización son raras o no existentes.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA AI7 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
AI7 NM 2.1
Se tiene una cierta coherencia entre las pruebas y la acreditación de los enfoques, pero por lo regular no se basan en ninguna metodología.
AI7 NM 2.2
Los equipos individuales de desarrollo deciden normalmente el enfoque de prueba y casi siempre carece de pruebas de integración.
AI7 NM 2.3
Se tiene un proceso de aprobación informal.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO AI7 NM 3
Nivel de Madurez 3 - Proceso definido Si
AI7
AI7 NM 3.1
Se cuenta con una metodología formal para la instalación, migración, conversión y aceptación.
AI7 NM 3.2
Los procesos de TI para instalación y acreditación están integrados dentro del ciclo de vida del sistema y están automatizados hasta cierto punto.
AI7 NM 3.3
La capacitación, pruebas y transición y acreditación a producción tienen muy probablemente variaciones respecto al proceso definido, con base en las decisiones individuales.
AI7 NM 3.4
La calidad de los sistemas que pasan a producción es inconsistente con los nuevos sistemas y a menudo generan un nivel significativo de problemas posteriores a la implementación.
No
Nivel Superior
75 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE AI7 NM 4
Nivel de Madurez 4 - Administrado y medible Si
AI7 NM 4.1
Los procedimientos son formales y se desarrollan para ser organizados y prácticos con ambientes de prueba definidos y con procedimientos de acreditación.
AI7 NM 4.2
En la práctica, todos los cambios mayores de sistemas, siguen este enfoque formal.
AI7 NM 4.3
La evaluación de la satisfacción a los requerimientos del usuario es estándar y medible, y produce mediciones que la administración puede revisar y analizar de forma efectiva.
AI7 NM 4.4
La calidad de los sistemas que entran en producción es satisfactoria para la administración aún con niveles razonables de problemas posteriores a la implementación.
AI7 NM 4.5
La automatización del proceso es con un fin determinado (ad hoc) y depende del proyecto.
AI7 NM 4.6
Es posible que la administración esté satisfecha con el nivel actual de eficiencia a pesar de la ausencia de una evaluación posterior a la implementación.
AI7 NM 4.7
El sistema de prueba refleja adecuadamente el ambiente de producción.
AI7 NM 4.8
La prueba de stress para los nuevos sistemas y la prueba de regresión para sistemas existentes se aplican a los grandes proyectos.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO AI7 NM 5
Nivel de Madurez 5 - Optimizado Si
AI7
AI7 NM 5.1
Los procesos de instalación y acreditación se han refinado a un nivel de buena práctica, con base en los resultados de mejora continua y refinamiento.
AI7 NM 5.2
Los procesos de TI para la instalación y acreditación están totalmente integrados dentro del ciclo de vida del sistema y se automatizan cuando es apropiado, arrojando el estatus más eficiente de capacitación, pruebas y transición a producción para los nuevos sistemas.
AI7 NM 5.3
Los ambientes de prueba bien desarrollados, los registros de problemas y los procesos de resolución de fallas, aseguran la transición eficiente y efectiva al ambiente de producción.
AI7 NM 5.4
La acreditación se lleva a cabo regularmente sin repetición de trabajos, y los problemas posteriores a la implementación se limitan normalmente a correcciones menores.
AI7 NM 5.5
Las revisiones posteriores a la implementación son estándar, y las lecciones aprendidas se canalizan nuevamente hacia el proceso para asegurar el mejoramiento continuo de la calidad.
AI7 NM 5.6
Las pruebas de stress para los nuevos sistemas y las pruebas de regresión para sistemas modificados se aplican en forma consistente.
No
76 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS1
Índice
DS 1 Definir y Administrar los Niveles de Servicio
EVALUE CORRECTAMENTE EL DS 1.1 DS 1.1
Marco de trabajo para administrar los niveles de servicio Si
DS 1.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se tiene definido un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el cliente y el proveedor de servicio. El marco de trabajo mantiene:
DS 1.1.2
1. La alineación continua de los requerimientos
DS 1.1.3
2. La alineación continua de las prioridades de negocio.
DS 1.1.4
3. La facilidad en el entendimiento común entre el cliente y el(los) prestador(es) de servicio El marco de trabajo incluye procesos para la creación de
DS 1.1.5
1. Los requerimientos de servicio
DS 1.1.6
2. Las definiciones de servicio
DS 1.1.7
3. Los acuerdos de niveles de servicio (SLAs)
DS 1.1.8
4. Los acuerdos de niveles de operación (OLAs)
DS 1.1.9
5. Las fuentes de financiamiento
DS 1.1.10
Los atributos del marco de trabajo están organizados en un catálogo de servicios.
El marco de trabajo define la estructura organizacional para la administración del nivel de servicio incluyendo: DS 1.1.11
1. Los roles
DS 1.1.12
2. Las tareas
DS 1.1.13
3. Las responsabilidades de los proveedores externos
DS 1.1.14
4. Las responsabilidades de los proveedores internos
DS 1.1.15
5. Las responsabilidades de los clientes
EVALUE CORRECTAMENTE EL DS 1.2 DS 1.2
Definición de servicios Si
DS 1.2.1
DS1
No
No Aplica
Se ha elaborado un catálogo o portafolio de servicios que, de manera organizada y centralizada, contiene las definiciones base de los servicios de TI en cuanto a características del servicio y requerimientos del negocio.
77 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 1.3 DS 1.3
Acuerdos de niveles de servicio (SLA's)
Referencias Si
DS 1.3.1
No
No Aplica
Se ha definido y acordado convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del cliente y las capacidades en TI. Los acuerdos incluyen:
DS 1.3.2
1. Los compromisos del cliente
DS 1.3.3
2. Los requerimientos de soporte para el servicio.
DS 1.3.4
3. Las métricas cualitativas para la medición del servicio firmado por los interesados
DS 1.3.5
4. Las métricas cuantitativas para la medición del servicio firmado por los interesados
DS 1.3.6
5. Los arreglos comerciales y de financiamiento (en caso de aplicar)
DS 1.3.7
6. Los roles y responsabilidades (en caso de aplicar)
DS 1.3.8
7. La revisión del SLA. (en caso de aplicar) Los acuerdos de nivel de servicio consideran características tales como:
DS1
DS 1.3.9
1. La disponibilidad.
DS 1.3.10
2. La confiabilidad.
DS 1.3.11
3. El desempeño.
DS 1.3.12
4. La capacidad de crecimiento.
DS 1.3.13
5. Los niveles de soporte.
DS 1.3.14
6. El plan de continuidad.
DS 1.3.15
7. La seguridad.
DS 1.3.16
8. Las restricciones de demanda.
78 de 152
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 1.4 DS 1.4
Acuerdos de niveles de operación (OLA's) Si
DS 1.4.1
Se asegura que los acuerdos de niveles de operación expliquen cómo serán entregados técnicamente los servicios para soportar el (los) SLA(s) de manera óptima.
DS 1.4.2
Los OLA´s especifican los procesos técnicos en términos entendibles para el proveedor y pueden apoyar diversos SLA´s.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL DS 1.5 DS 1.5
Monitoreo y reporte de logros de los niveles de servicio Si
DS 1.5.1
Se monitorean continuamente los criterios de desempeño especificados para el nivel de servicio.
DS 1.5.2
Los reportes sobre el cumplimiento de los logros de los niveles de servicio deben emitirse en un formato que sea entendible para los interesados.
DS 1.5.3
Las estadísticas de monitoreo son analizadas para identificar tendencias positivas y negativas, tanto de servicios individuales como de los servicios en conjunto.
No
No Aplica
EVALUE CORRECTAMENTE EL DS 1.6 DS 1.6
Revisión de los acuerdos de niveles de servicio y de los contratos Si
No
No Aplica
Se revisa regularmente con los proveedores internos y externos los acuerdos de niveles de servicio para asegurar que:
DS1
DS 1.6.1
1. Son efectivos
DS 1.6.2
2. Están actualizados
DS 1.6.3
3. Se han tomado en cuenta los cambios en requerimientos.
79 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS1
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS1 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS1 NM 1.1
Se tiene conciencia de la necesidad de administrar los niveles de servicio, pero el proceso es informal y reactivo.
DS1 NM 1.2
La responsabilidad y la rendición de cuentas sobre la definición y la administración de servicios no está definida.
DS1 NM 1.3
Si se tienen mediciones de desempeño, son solamente cualitativas con metas definidas de forma imprecisa.
DS1 NM 1.4
La notificación es informal, infrecuente e inconsistente
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS1 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS1 NM 2.1
Los niveles de servicio están acordados pero son informales y no están revisados.
DS1 NM 2.2
Los reportes de los niveles de servicio están incompletos y pueden ser irrelevantes o engañosos para los clientes.
DS1 NM 2.3
Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores.
DS1 NM 2.4
Se tiene designado un coordinador de niveles de servicio con responsabilidades definidas, pero con autoridad limitada.
DS1 NM 2.5
Si se tiene un proceso para el cumplimiento de los acuerdos de niveles de servicio, es voluntario y no está implementado.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS1 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS1
DS1 NM 3.1
Las responsabilidades están bien definidas pero con autoridad discrecional.
DS1 NM 3.2
El proceso de desarrollo del acuerdo de niveles de servicio esta en orden y cuenta con puntos de control para revalorar los niveles de servicio y la satisfacción de cliente.
DS1 NM 3.3
Los servicios y los niveles de servicio están definidos, documentados y se ha acordado utilizar un proceso estándar.
DS1 NM 3.4
Las deficiencias en los niveles de servicio están identificadas, pero los procedimientos para resolver las deficiencias son informales.
DS1 NM 3.5
Se tiene un claro vínculo entre el cumplimiento del nivel de servicio esperado y la inversión prevista
DS1 NM 3.6
Los niveles de servicio están acordados pero pueden no responder a las necesidades del negocio.
No
Nivel Superior
80 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS1 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS1 NM 4.1
Los niveles de servicio son cada vez mas definidos en la fase de definición de los requerimientos del sistema e incorporados dentro del diseño de los ambientes de aplicación y de operación
DS1 NM 4.2
La satisfacción del cliente es medida y valorada de forma rutinaria.
DS1 NM 4.3
Las medidas de desempeño reflejan las necesidades del cliente, en lugar de las metas de TI.
DS1 NM 4.4
Las medidas para la valoración de los niveles de servicio se vuelven estandarizadas y reflejan los estándares de la industria.
DS1 NM 4.5
Los criterios para la definición de los niveles de servicio están basados en la criticidad del negocio e incluyen consideraciones de disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, soporte al usuario, planeación de continuidad y seguridad.
DS1 NM 4.6
Cuando no se cumplen los niveles de servicio, se llevan a cabos análisis causa-raíz de manera rutinaria.
DS1 NM 4.7
El proceso de reporte para monitorear los niveles de servicio se vuelve cada vez más automatizado.
DS1 NM 4.8
Los riesgos operacionales y financieros asociados con la falta de cumplimiento de los niveles de servicio, están definidos y se entienden claramente.
DS1 NM 4.9
Se implementa y mantiene un sistema formal de medición de los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs).
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS1 NM 5
Nivel de Madurez 5 - Optimizado Si
DS1
DS1 NM 5.1
Los niveles de servicio son continuamente reevaluados para asegurar la alineación de TI y los objetivos del negocio, mientras se toma ventaja de la tecnología incluyendo la relación costo-beneficio.
DS1 NM 5.2
Todos los procesos de administración de niveles de servicio están sujetos a mejora continua.
DS1 NM 5.3
Los niveles de satisfacción del cliente son administrados y monitoreados de manera continua.
DS1 NM 5.4
Los niveles de servicio esperados reflejan metas estratégicas de las unidades de negocio y son evaluadas contra las normas de la industria.
DS1 NM 5.5
La administración de TI tiene los recursos y la asignación de responsabilidades necesarias para cumplir con los objetivos de niveles de servicio y la compensación está estructurada para brindar incentivos por cumplir con estos objetivos.
DS1 NM 5.6
La alta administración monitorea los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) como parte de un proceso de mejora continua.
No
81 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS2
Índice
DS 2 Administrar los Servicios de Terceros
EVALUE CORRECTAMENTE EL DS 2.1 DS 2.1
Identificación de las relaciones con todos los proveedores Si
DS 2.1.1
Se identifican todos los servicios de los proveedores y se categorizan de acuerdo con el tipo de proveedor, la importancia y la criticidad.
DS 2.1.2
Se mantiene documentación formal de las relaciones técnicas y organizacionales
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
La documentación formal incluye: DS 2.1.3
1. Los roles y responsabilidades
DS 2.1.4
2. Las metas
DS 2.1.5
3. Las expectativas
DS 2.1.6
4. Los entregables esperados
DS 2.1.7
5. Las credenciales de los representantes de estos proveedores
EVALUE CORRECTAMENTE EL DS 2.2 DS 2.2
Administración de las relaciones con los proveedores Si
DS 2.2.1
No
No Aplica
Se formaliza el proceso de administración de relaciones con proveedores por cada proveedor. Los responsables de las relaciones deben:
DS 2.2.2
1. Coordinar a los proveedores y los clientes.
DS 2.2.3
2. Asegurar la calidad de las relaciones con base en la confianza y la transparencia.
EVALUE CORRECTAMENTE EL DS 2.3 DS 2.3
Administración de riesgos del proveedor Si
DS 2.3.1
Se identifica y mitiga los riesgos relacionados con la capacidad de los proveedores para mantener una efectiva entrega de servicios de forma segura y eficiente sobre una base de continuidad.
DS 2.3.2
Se asegura que los contratos están de acuerdo con los estándares universales del negocio de conformidad con los requerimientos legales y regulatorios.
No
No Aplica
La administración del riesgo considera:
DS2
DS 2.3.3
1. Los acuerdos de confidencialidad (NDAs).
DS 2.3.4
2. Los contratos de garantía.
DS 2.3.5
3. La viabilidad de la continuidad del proveedor.
DS 2.3.6
4. La conformidad con los requerimientos de seguridad.
DS 2.3.7
5. Los proveedores alternativos.
DS 2.3.8
6. Las penalizaciones e incentivos.
82 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 2.4 DS 2.4
Monitoreo del desempeño del proveedor
Referencias Si
DS 2.4.1
No
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se establece el proceso de monitoreo de entrega de servicio para asegurar que el proveedor este reuniendo los requerimientos de negocio actuales y continuamente se apegue a los acuerdos contractuales y de nivel de servicio, y que el desempeño sea competitivo con los proveedores alternativo y con las condiciones de mercado.
NIVELES DE MADUREZ DS2
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS2 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS2 NM 1.1
La administración está consciente de la necesidad de tener políticas y procedimientos documentados para la administración de los servicios de terceros, incluyendo la firma de contratos.
DS2 NM 1.2
No se tienen condiciones estandarizadas para los convenios con los proveedores de servicios.
DS2 NM 1.3
La medición de los servicios prestados es informal y reactiva.
DS2 NM 1.4
Las prácticas dependen de la experiencia individual y del proveedor (por ejemplo, por demanda)
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS2 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS2 NM 2.1
El proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es informal.
DS2 NM 2.2
Se utiliza un contrato pro - forma con términos y condiciones estándares del proveedores (por ejemplo, la descripción de servicios que prestarán).
DS2 NM 2.3
Los reportes sobre los servicios prestados están disponibles, pero no soportan los objetivos del negocio.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS2 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS2
DS2 NM 3.1
Se tienen procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los proveedores.
DS2 NM 3.2
Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramente contractual.
DS2 NM 3.3
La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operativos y de control
DS2 NM 3.4
Se asigna la responsabilidad de supervisar los servicios de terceros.
DS2 NM 3.5
Los términos contractuales se basan en formatos estandarizados.
DS2 NM 3.6
El riesgo del negocio asociado con los servicios del tercero está valorado y reportado.
No
Nivel Superior
83 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS2 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS2 NM 4.1
Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo, servicios / entregables a suministrar, suposiciones, cronograma, costo, acuerdos de facturación y responsabilidades.
DS2 NM 4.2
Se asignan las responsabilidades para la administración del contrato y del proveedor.
DS2 NM 4.3
Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua.
DS2 NM 4.4
Los requerimientos del servicio están definidos y alineados con los objetivos del negocio.
DS2 NM 4.5
Se cuenta con un proceso para comparar el desempeño contra los términos contractuales, lo cual proporciona información para evaluar los servicios actuales y futuros del tercero.
DS2 NM 4.6
Se utilizan modelos de fijación de precios de transferencia en el proceso de adquisición.
DS2 NM 4.7
Todas las partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas.
DS2 NM 4.8
Se acordaron los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) para la supervisión de los proveedores del servicio.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS2 NM 5
Nivel de Madurez 5 - Optimizado Si
DS2
DS2 NM 5.1
Los contratos firmados con los terceros son revisados de forma periódica en intervalos predefinidos.
DS2 NM 5.2
La responsabilidad de administrar a los proveedores y la calidad de los servicios prestados está asignada.
DS2 NM 5.3
Se evidencia el cumplimiento del contrato a nivel operacional, legal y las provisiones de control son monitoreadas y se aplican las medidas correctivas.
DS2 NM 5.4
El tercero está sujeto a revisiones periódicas independientes y se le retroalimenta sobre su desempeño para mejorar la prestación del servicio.
DS2 NM 5.5
Las mediciones varían como respuesta a los cambios en las condiciones del negocio.
DS2 NM 5.6
Las mediciones ayudan a la detección temprana de los problemas potenciales con los servicios de terceros.
DS2 NM 5.7
La notificación completa y bien definida del cumplimiento de los niveles de servicio, está asociada con la compensación del tercero.
DS2 NM 5.8
La administración ajusta el proceso de adquisición y monitoreo de servicios de terceros con base en los resultados de los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs).
No
84 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS3
Índice
DS 3 Administrar el Desempeño y la Capacidad
EVALUE CORRECTAMENTE EL DS 3.1 DS 3.1
Planeación del desempeño y la capacidad Si
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se establece un proceso de planeación para: DS 3.1.1
1. La revisión del desempeño y la capacidad de los recursos de TI.
DS 3.1.2
2. Asegurar la disponibilidad de la capacidad y del desempeño con costos justificables.
DS 3.1.3
3. Procesar las cargas de trabajo acordadas tal como se determina en los SLA's.
DS 3.1.4
Los planes de capacidad y desempeño hacen uso de técnicas de modelado apropiadas para producir un modelo de desempeño, de capacidad y de rendimiento de los recursos de TI, tanto actual como pronosticado.
EVALUE CORRECTAMENTE EL DS 3.2 DS 3.2
Capacidad y desempeño actual Si
DS 3.2.1
No
No Aplica
Se revisa la capacidad y desempeño actual de los recursos de TI en intervalos regulares, para determinar si se dispone de suficiente capacidad y desempeño, para prestar los servicios con base en los niveles de servicio acordados.
EVALUE CORRECTAMENTE EL DS 3.3 DS 3.3
Capacidad y desempeño futuros Si
DS3
DS 3.3.1
Se lleva a cabo un pronóstico de desempeño y capacidad de los recursos de TI en intervalos regulares, para minimizar el riesgo de interrupciones del servicio originadas por falta de capacidad o degradación del desempeño.
DS 3.3.2
Se identifica también el exceso de capacidad para una posible redistribución.
DS 3.3.3
Se identifica las tendencias de las cargas de trabajo y se determina los pronósticos que serán parte de los planes de capacidad y de desempeño.
No
No Aplica
85 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 3.4 DS 3.4
Disponibilidad de los recursos de TI Si
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se proporciona la capacidad y desempeño requeridos considerando lo siguiente: DS 3.4.1
1. Las cargas de trabajo normales.
DS 3.4.2
2. Las contingencias.
DS 3.4.3
3. Los requerimientos de almacenamiento.
DS 3.4.4
4. Los ciclos de vida de los recursos de TI. Cuando el desempeño y la capacidad no están en el nivel requerido, se establecen las disposiciones siguientes:
DS 3.4.5
1. Dar prioridad a las tareas.
DS 3.4.6
2. Mecanismos de tolerancia de fallas.
DS 3.4.7
3. Prácticas de asignación de recursos. La gerencia garantiza que los planes de contingencia consideran de forma apropiada para los recursos individuales de TI lo siguiente:
DS 3.4.8
1. La disponibilidad
DS 3.4.9
2. La capacidad
DS 3.4.10
3. El Desempeño.
EVALUE CORRECTAMENTE EL DS 3.5 DS 3.5
Monitoreo y reporte Si
DS 3.5.1
No
No Aplica
Se monitorea continuamente el desempeño y la capacidad de los recursos de TI.
La información recolectada se utiliza para:
DS3
DS 3.5.2
1. Mantener y ajustar el desempeño actual dentro de TI, atendiendo temas como resistencia, contingencia, cargas de trabajo actuales y proyectadas, planes de almacenamiento y adquisición de recursos.
DS 3.5.3
2. Reportar la disponibilidad hacia el negocio del servicio prestado como se requiere en los SLAs.
DS 3.5.4
Se acompaña todos los reportes de excepción con recomendaciones para llevar a cabo acciones correctivas.
86 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS3
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS3 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS3 NM 1.1
Los usuarios, con frecuencia, tienen que llevar acabo soluciones alternas para resolver las limitaciones de desempeño y capacidad.
DS3 NM 1.2
Los responsables de los procesos del negocio valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño.
DS3 NM 1.3
Las acciones para administrar el desempeño y la capacidad suelen ser reactivas.
DS3 NM 1.4
El proceso de planeación de la capacidad y el desempeño es informal.
DS3 NM 1.5
El entendimiento sobre la capacidad y el desempeño de TI, actual y futuro, es limitado.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS3 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS3 NM 2.1
Los responsables del negocio y la administración de TI están conscientes del impacto de no administrar el desempeño y la capacidad.
DS3 NM 2.2
Las necesidades de desempeño se logran por lo general con base en evaluaciones de sistemas individuales y el conocimiento y soporte de equipos de proyecto.
DS3 NM 2.3
Algunas herramientas individuales pueden utilizarse para diagnosticar problemas de desempeño y de capacidad, pero la consistencia de los resultados depende de la experiencia de los individuos clave.
DS3 NM 2.4
Se carece de una evaluación general de la capacidad de desempeño de TI o consideración sobre situaciones de carga pico y peor - escenario.
DS3 NM 2.5
Los problemas de disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria y toma mucho tiempo diagnosticarlos y corregirlos.
DS3 NM 2.6
Cualquier medición de desempeño se basa primordialmente en las necesidades de TI y no en las necesidades del cliente.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS3 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS3
DS3 NM 3.1
Los requerimientos de desempeño y capacidad están definidos a lo largo del ciclo de vida del sistema.
DS3 NM 3.2
Se tienen métricas y requerimientos de niveles de servicio bien definidos, que pueden utilizarse para medir el desempeño operacional.
DS3 NM 3.3
Los pronósticos de la capacidad y el desempeño se modelan por medio de un proceso definido.
DS3 NM 3.4
Los reportes se generan con estadísticas de desempeño.
DS3 NM 3.5
Los problemas relacionados al desempeño y a la capacidad siguen siendo susceptibles a ocurrir y su resolución sigue consumiendo tiempo.
DS3 NM 3.6
A pesar de los niveles de servicio publicados, los usuarios y los clientes pueden sentirse escépticos acerca de la capacidad del servicio.
No
Nivel Superior
87 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS3 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS3 NM 4.1
Se tienen procesos y herramientas disponibles para medir el uso del sistema, el desempeño y la capacidad, y los resultados se comparan con las objetivos definidos.
DS3 NM 4.2
Se tiene información actualizada disponible, brindando estadísticas de desempeño estandarizadas y alertando sobre incidentes causados por falta de desempeño o de capacidad.
DS3 NM 4.3
Los problemas de falta de desempeño y de capacidad se enfrentan de acuerdo con procedimientos definidos y estandarizados.
DS3 NM 4.4
Se utilizan herramientas automatizadas para monitorear recursos específicos tales como espacios en disco, redes, servidores y puertas de enlace (gateways) de la red.
DS3 NM 4.5
Las estadísticas de desempeño y capacidad son reportadas en términos de los procesos de negocio, de forma que los usuarios y los clientes comprenden los niveles de servicio de TI.
DS3 NM 4.6
Los usuarios se sienten por lo general satisfechos con la capacidad del servicio actual y pueden solicitar nuevos y mejores niveles de disponibilidad.
DS3 NM 4.7
Se han acordado los indicadores claves de meta (KGIs) y los indicadores claves de desempeño (KPIs) para medir el desempeño y la capacidad de TI, pero puede ser que se aplican de forma esporádica e inconsistente.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS3 NM 5
Nivel de Madurez 5 - Optimizado Si
DS3
DS3 NM 5.1
Los planes de desempeño y capacidad están completamente sincronizados con las proyecciones de demanda del negocio.
DS3 NM 5.2
La infraestructura de TI y la demanda del negocio están sujetas a revisiones regulares para asegurar que se logre una capacidad óptima con el menor costo posible.
DS3 NM 5.3
Las herramientas para monitorear recursos críticos de TI han sido estandarizadas y usadas a través de diferentes plataformas y vinculadas a un sistema de administración de incidentes a lo largo de toda la organización .
DS3 NM 5.4
Las herramientas de monitoreo detectan y pueden corregir automáticamente problemas relacionados con la capacidad y el desempeño.
DS3 NM 5.5
Se llevan a cabo análisis de tendencias, los cuales muestran problemas de desempeño inminentes causados por incrementos en los volúmenes de negocio, lo que permite planear y evitar problemas inesperados.
DS3 NM 5.6
Las métricas para medir el desempeño y la capacidad de TI han sido bien afinadas dentro de los indicadores claves de meta (KGIs) y los indicadores claves de desempeño (KPIs) para todos los procesos del negocio críticos y se miden de forma regular.
DS3 NM 5.7
La administración ajusta la planeación del desempeño y la capacidad siguiendo los análisis de los indicadores claves de meta (KGIs) y de los indicadores claves de desempeño (KPIs).
No
88 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS4
Índice
DS 4 Garantizar la Continuidad del Servicio
EVALUE CORRECTAMENTE EL DS 4.1 DS 4.1
Marco de continuidad de TI Si
DS 4.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se desarrolla un marco de continuidad de TI que apoye la continuidad del negocio con un proceso consistente para toda la organización. El marco de continuidad:
DS 4.1.2
1. Ayuda a determinar la resistencia necesaria de la infraestructura.
DS 4.1.3
2. Guía el desarrollo de los planes de recuperación de desastres.
DS 4.1.4
3. Guía el desarrollo de los planes de contingencias. El marco de continuidad contiene:
DS 4.1.5
1. La estructura organizativa para la administración de la continuidad.
DS 4.1.6
2. Las funciones.
DS 4.1.7
3. Las tareas y responsabilidades de los proveedores de servicios internos, su administración y sus clientes.
DS 4.1.8
4. Las tareas y responsabilidades de los proveedores de servicios externos, su administración y sus clientes.
DS 4.1.9
5. Las reglas y estructuras para documentar, probar y ejecutar la recuperación de desastres.
DS 4.1.10
6. Las reglas y estructuras para documentar, probar y ejecutar los planes de contingencia de TI. Los planes de contingencia.
DS 4.1.11
1. La identificación de recursos críticos.
DS 4.1.12
2. El monitoreo y reporte de la disponibilidad de recursos críticos.
DS 4.1.13
3. El procesamiento alternativo.
DS 4.1.14
4. Los principios de respaldo y recuperación.
EVALUE CORRECTAMENTE EL DS 4.2 DS 4.2
Planes de continuidad de TI Si
DS 4.2.1
No
No Aplica
Se desarrolla planes de continuidad de TI con base en el marco de continuidad, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocio. Los planes consideran para todos los servicios críticos de TI:
DS4
DS 4.2.2
1. Los requerimientos de resistencia.
DS 4.2.3
2. El procesamiento alternativo.
DS 4.2.4
3. La capacidad de recuperación.
DS 4.2.5
4. Los lineamientos de uso
DS 4.2.6
5. Las funciones y responsabilidades.
DS 4.2.7
6. Los procedimientos.
DS 4.2.8
7. Los procesos de comunicación.
DS 4.2.9
8. El enfoque de las pruebas.
89 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 4.3 DS 4.3
Recursos críticos de TI Si
DS 4.3.1
Se centra la atención en los puntos determinados como los más críticos en el plan de continuidad de TI, para construir resistencia y establecer prioridades en situaciones de recuperación.
DS 4.3.2
Se evita la distracción de recuperar los puntos menos críticos.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se asegura que la respuesta y la recuperación es: DS 4.3.3
1. Está conforme a las necesidades prioritarias del negocio.
DS 4.3.4
2. Mantenga los costos a un nivel aceptable.
DS 4.3.5
DS 4.3.6
3. Cumpla con los requerimientos regulatorios y contractuales. Se considera los requerimientos de resistencia, respuesta y recuperación para diferentes niveles de prioridad (por ejemplo, de una a cuatro horas, de cuatro a 24 horas, más de 24 horas) y para periodos críticos de operación del negocio.
EVALUE CORRECTAMENTE EL DS 4.4 DS 4.4
Mantenimiento del plan de continuidad de TI Si
DS 4.4.1
Se exhorta a la administración de TI a definir y ejecutar procedimientos de control de cambios, para asegurar que el plan de continuidad de TI se mantenga actualizado y que refleje de manera continua las necesidades reales del negocio.
DS 4.4.2
Se comunica de forma clara y oportuna los cambios en los procedimientos y responsabilidades.
No
No Aplica
EVALUE CORRECTAMENTE EL DS 4.5 DS 4.5
Prueba del plan de continuidad de TI Si
DS 4.5.1
No
No Aplica
Se prueba el plan de continuidad de TI de forma regular.
Las pruebas del plan de continuidad de TI garantizan que: DS 4.5.2
1. Los sistemas de TI pueden ser recuperados de forma efectiva.
DS 4.5.3
2. Las deficiencias son atendidas.
DS 4.5.4
3. El plan sigue siendo aplicable. Es requerido para las pruebas del plan lo siguiente:
DS 4.5.5
1. La preparación cuidadosa.
DS 4.5.6
2. La documentación.
DS 4.5.7
3. El reporte de resultados de las pruebas.
DS 4.5.8
4. La implementación de un plan de acción, de acuerdo con los resultados. El alcance de las pruebas de recuperación considera lo siguiente:
DS4
DS 4.5.9
1. La aplicaciones individuales.
DS 4.5.10
2. Los escenarios de pruebas integrados.
DS 4.5.11
3. Las pruebas de punta a punta.
DS 4.5.12
4. Las pruebas integradas con el proveedor.
90 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 4.6 DS 4.6
Entrenamiento del plan de continuidad de TI Si
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se asegura que todas las partes interesadas reciben periódicamente sesiones de formación sobre: DS 4.6.1
1. Los procedimientos en caso de incidentes o desastre.
DS 4.6.2
2. Sus funciones en caso de incidentes o desastre.
DS 4.6.3
DS 4.6.4
3. Sus responsabilidades en caso de incidente o desastre. Se verifica y mejora la capacitación de acuerdo con los resultados de las pruebas de contingencia.
EVALUE CORRECTAMENTE EL DS 4.7 DS 4.7
Distribución del plan de continuidad de TI Si
DS 4.7.1
No
No Aplica
Se dispone de una estrategia de distribución definida y administrada que asegure que los planes se distribuyen de manera apropiada y segura, estén disponibles entre las partes involucradas y debidamente autorizadas cuando y donde se requiera.
EVALUE CORRECTAMENTE EL DS 4.8 DS 4.8
Recuperación y reanudación de los servicios de TI Si
DS 4.8.1
No
No Aplica
Se tiene un plan de acción que TI debe tomar para reanudar y recuperar los servicios.
El plan incluye: DS 4.8.2
1. La activación de sitios de respaldo.
DS 4.8.3
2. El inicio de procesamiento alternativo.
DS 4.8.4
3. La comunicación a clientes y a los interesados.
DS 4.8.4
4. La elaboracion de los procedimientos de reanudación. Se asegura que los responsables del negocio entienden:
DS4
DS 4.8.5
1. Los tiempos de recuperación de TI
DS 4.8.6
2. Las inversiones necesarias en tecnología para soportar las necesidades de recuperación y reanudación del negocio
91 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 4.9 DS 4.9
Almacenamiento del respaldo fuera de las instalaciones
Referencias Si
No
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se almacena fuera de las instalaciones recursos críticos de TI necesarios para la recuperación de TI y para los planes de continuidad del negocio, tales como: DS 4.9.1
1. Todos los medios de respaldo.
DS 4.9.2
2. Documentación.
DS 4.9.3
3. Otros.
DS 4.9.4
El contenido de los respaldos a almacenar se determina en conjunto entre los responsables de los procesos de negocio y el personal de TI.
DS 4.9.5
La administración del sitio de almacenamiento externo a las instalaciones, se apega a la política de clasificación de datos y a las prácticas de almacenamiento de datos de la empresa.
DS 4.9.6
La administración de TI asegura que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad.
DS 4.9.7
Se asegura de la compatibilidad del hardware y del software para restaurar los datos archivados y se prueba periódicamente y actualizan los datos archivados.
EVALUE CORRECTAMENTE EL DS 4.10 DS 4.10
Revisión post-reanudación
Referencias Si
DS 4.10.1
DS4
No
No Aplica
Se determina si la administración de TI, una vez lograda una exitosa reanudación de las funciones de TI después de un desastre, ha establecido procedimientos para valorar lo adecuado del plan y en consecuencia actualizarlo.
92 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS4
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS4 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS4 NM 1.1
La responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.
DS4 NM 1.2
La administración comienza a darse cuenta de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios.
DS4 NM 1.3
El enfoque de la administración sobre la continuidad del servicio radica en los recursos de infraestructura, en vez de radicar en los servicios de TI.
DS4 NM 1.4
Los usuarios implementan soluciones como respuesta a las interrupciones de los servicios.
DS4 NM 1.5
La respuesta de TI a las interrupciones mayores es reactiva y sin preparación.
DS4 NM 1.6
Las interrupciones planeadas están programadas para cumplir con las necesidades de TI pero no consideran las necesidades del negocio.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS4 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS4
DS4 NM 2.1
Se asigna la responsabilidad para garantizar la continuidad del servicio.
DS4 NM 2.2
Los enfoques para asegurar la continuidad están divididos (fragmentados).
DS4 NM 2.3
Los reportes sobre la disponibilidad son esporádicos, pueden estar incompletos y no toman en cuenta el impacto en el negocio.
DS4 NM 2.4
No Se carece de un plan de continuidad de TI documentado, aunque Se carece de compromiso para mantener disponible la continuidad del servicio y sus principios más importantes se conocen.
DS4 NM 2.5
Se tiene un inventario de sistemas y componentes críticos, pero pueden no ser confiables.
DS4 NM 2.6
Las prácticas de continuidad en los servicios está surgiendo, pero el éxito depende de los individuos.
No
Nivel Superior
93 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS4 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS4 NM 3.1
La responsabilidad sobre la administración de la continuidad del servicio es clara.
DS4 NM 3.2
Las responsabilidades de la planeación y de las pruebas de la continuidad de los servicios están claramente asignadas y definidas.
DS4 NM 3.3
El plan de continuidad de TI está documentado y basado en la criticidad de los sistemas y el impacto al negocio.
DS4 NM 3.4
Se tienen reportes periódicos de las pruebas de continuidad.
DS4 NM 3.5
Los individuos toman la iniciativa para seguir estándares y recibir capacitación para enfrentarse con incidentes mayores o desastres.
DS4 NM 3.6
La administración comunica de forma regular la necesidad de planificar para garantizar la continuidad del servicio.
DS4 NM 3.7
Se han aplicado componentes de alta disponibilidad y redundancia.
DS4 NM 3.8
Se mantiene un inventario de sistemas y componentes críticos.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS4 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS4
DS4 NM 4.1
Se hacen cumplir las responsabilidades y los estándares para la continuidad de los servicios.
DS4 NM 4.2
Se asignan la responsabilidad de mantener el plan de continuidad de servicios.
DS4 NM 4.3
Las actividades de mantenimiento están basadas en los resultados de las pruebas de continuidad, en las buenas prácticas internas y en los cambios en el entorno empresarial y de TI.
DS4 NM 4.4
Se recopila, analiza y reporta documentación estructurada sobre la continuidad de los servicios y se actúa como consecuencia.
DS4 NM 4.5
Se brinda capacitación formal y obligatoria sobre los procesos de continuidad.
DS4 NM 4.6
Se implementan constantemente buenas prácticas de disponibilidad de los sistemas.
DS4 NM 4.7
Las prácticas de disponibilidad y la planeación de la continuidad de los servicios tienen influencia una sobre la otra.
DS4 NM 4.8
Se clasifican los incidentes de discontinuidad y la ruta de escalamiento es bien conocida por todos los involucrados.
DS4 NM 4.9
Se han desarrollado y acordado los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) para la continuidad de los servicios, aunque pueden ser medidos de manera inconsistente
No
Nivel Superior
94 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS4 NM 5
Nivel de Madurez 5 - Optimizado
Referencias Si
DS4
DS4 NM 5.1
Los procesos integrados de servicio continuo toman en cuenta referencias de la industria y las mejores prácticas externas.
DS4 NM 5.2
El plan de continuidad de TI está integrado con los planes de continuidad del negocio y se le da mantenimiento de manera rutinaria.
DS4 NM 5.3
El requerimiento para asegurar continuidad es garantizado por los proveedores y principales distribuidores.
DS4 NM 5.4
Se realizan pruebas globales de continuidad del servicio, y los resultados de las pruebas se utilizan para actualizar el plan.
DS4 NM 5.5
La recopilación y el análisis de datos se utilizan para mejorar continuamente el proceso.
DS4 NM 5.6
Las prácticas de disponibilidad y la continua planeación de la continuidad están totalmente alineadas.
DS4 NM 5.7
La administración asegura que un desastre o un incidente mayor no ocurrirá como resultado de un punto único de falla.
DS4 NM 5.8
Las prácticas de escalamiento se entienden y se hacen cumplir a fondo.
DS4 NM 5.9
Los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) sobre el cumplimiento de la continuidad de los servicios, se miden de manera sistemática.
DS4 NM 5.10
La administración ajusta la planeación de continuidad como respuesta a los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs)
No
95 de 152
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Matriz de Calificación
OBJETIVOS DE CONTROL DS5
Índice
DS 5 Garantizar la Seguridad de los Sistemas
EVALUE CORRECTAMENTE EL DS 5.1 DS 5.1
Administración de la seguridad de TI Si
DS 5.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se administra la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio.
EVALUE CORRECTAMENTE EL DS 5.2 DS 5.2
Plan de seguridad de TI Si
No
No Aplica
El plan de seguridad de TI, contiene: DS 5.2.1
1. Los requerimientos de información del negocio
DS 5.2.2
2. La configuración de TI
DS 5.2.3
3. Los planes de acción del riesgo de la información
DS 5.2.4
4. La cultura sobre la seguridad en la información
DS 5.2.5
Se implementa dentro de las políticas y procedimiento de seguridad en conjunto con inversiones apropiadas en servicios, personal, software y hardware.
DS 5.2.7
Se comunican a los interesados y a los usuarios las políticas y procedimientos de seguridad
EVALUE CORRECTAMENTE EL DS 5.3 DS 5.3
Administración de identidad Si
DS 5.3.1
No
No Aplica
Se identifican de manera única todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicaciones de negocio, sistemas operacionales, desarrollo y mantenimiento). Los derechos de acceso del usuario a sistemas y datos están alineados con:
DS 5.3.2 DS 5.3.3
1. Las necesidades de negocio definidas y documentadas. 2. Los requerimientos de trabajo. Los derechos de acceso del usuario son:
DS 5.3.4
1. Solicitados por el usuario administrador .
DS 5.3.5
2. Aprobados por el dueño del sistema.
DS 5.3.6
DS 5.3.7
3. Implementados por la persona responsable de la seguridad. Se mantienen en un repositorio central las identidades del usuario y los derechos de acceso. Se implementan y mantienen actualizados medidas técnicas y procedimientos rentables, para:
DS5
DS 5.3.8
1. Establecer la identificación del usuario.
DS 5.3.8
2. Implementar la autenticación.
DS 5.3.10
3. Habilitar los derechos de acceso.
96 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 5.4 DS 5.4
Administración de cuentas de usuario Si
DS 5.4.1
Se garantiza que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean dirigidas por el administrador de cuentas de usuario.
DS 5.4.2
Se tiene un procedimiento que describe al responsable de los datos o del sistema como otorgar los privilegios de acceso
DS 5.4.3
Los procedimientos para otorgar los privilegios de acceso aplican para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia.
DS 5.4.4
Los derechos y obligaciones relacionados al acceso a los sistemas e información de la empresa son acordados contractualmente para todos los tipos de usuarios.
DS 5.4.5
La administración lleva a cabo una revisión regular de todas las cuentas y los privilegios asociados.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL DS 5.5 DS 5.5
Pruebas, vigilancia y monitoreo de la seguridad Si
DS 5.5.1
Se garantiza que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa.
DS 5.5.2
La seguridad en TI es re acreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado.
DS 5.5.3
Una función de ingreso al sistema (logging) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención.
DS 5.5.4
El acceso a la información de ingreso al sistema está alineado con los requerimientos del negocio en términos de requerimientos de retención y de derechos de acceso.
No
No Aplica
EVALUE CORRECTAMENTE EL DS 5.6 DS 5.6
Definición de incidentes de seguridad Si
DS 5.6.1
Se garantiza que las características de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de forma apropiada por medio del proceso de administración de problemas o incidentes.
DS 5.6.2
Las características incluyen una descripción de lo que se considera un incidente de seguridad y su nivel de impacto.
DS 5.6.3
Un número limitado de niveles de impacto se definen para cada incidente, se identifican las acciones específicas requeridas y las personas que necesitan ser notificadas.
No
No Aplica
EVALUE CORRECTAMENTE EL DS 5.7 DS 5.7
Protección de la tecnología de seguridad Si
No
No Aplica
La protección de la tecnología de seguridad garantiza: DS 5.7.1
1. Que la tecnología importante relacionada con la seguridad no sea susceptible de sabotaje.
DS 5.7.2
2. Que la documentación de seguridad no se divulgue de forma innecesaria.
DS 5.7.3
La seguridad de los sistemas no depende de la confidencialidad de las especificaciones de seguridad.
EVALUE CORRECTAMENTE EL DS 5.8 DS 5.8
Administración de llaves criptográficas Si
DS5
DS 5.8.2
Se implementan políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo de llaves criptográficas.
DS 5.8.3
Las políticas y procedimientos garantizan la protección de las llaves criptográficas contra modificaciones y divulgación no autorizada
No
No Aplica
97 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 5.9 DS 5.9
Prevención, detección y corrección de software malicioso Si
DS 5.9.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se garantiza que se cuente con medidas de prevención, detección y corrección (en especial contar con parches de seguridad y control de virus actualizados) a lo largo de la organización para proteger la tecnología y sistemas de información de software malicioso, tales como, virus, gusanos, spyware, correo basura, software fraudulento desarrollado internamente, entre otros.
EVALUE CORRECTAMENTE EL DS 5.10 DS 5.10
Seguridad de la red Si
DS 5.10.1
No
No Aplica
Se garantiza que se utilizan técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes.
EVALUE CORRECTAMENTE EL DS 5.11 DS 5.11
Intercambio de datos sensitivos Si
No
No Aplica
Las transacciones de datos sensibles sean intercambiadas solamente a través de una ruta o medio confiable con controles que brinden: DS 5.11.1
1. La autenticidad de contenido.
DS 5.11.2
2. La prueba de envío
DS 5.11.3
3. La prueba de recepción.
DS 5.11.4
4. El no rechazo del origen.
NIVELES DE MADUREZ DS5
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS5 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc
Referencias Si
DS5
DS5 NM 1.1
La organización reconoce la necesidad de seguridad para TI.
DS5 NM 1.2
La conciencia de la necesidad de seguridad depende principalmente del individuo.
DS5 NM 1.3
La seguridad de TI se lleva a cabo de forma reactiva.
DS5 NM 1.4
No se mide la seguridad de TI.
DS5 NM 1.5
Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras.
DS5 NM 1.6
Las respuestas a las brechas de seguridad de TI son impredecibles.
No
Nivel Superior
98 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS5 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS5 NM 2.1
Las responsabilidades y la rendición de cuentas sobre la seguridad, están asignadas a un coordinador de seguridad de TI, pero la autoridad gerencial del coordinador es limitada.
DS5 NM 2.2
La conciencia sobre la necesidad de la seguridad está fraccionada y limitada.
DS5 NM 2.3
Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza.
DS5 NM 2.4
Los servicios de terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa.
DS5 NM 2.5
Las políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades son inadecuadas.
DS5 NM 2.6
Los reportes de la seguridad de TI son incompletos, engañosos o no aplicables.
DS5 NM 2.7
La capacitación sobre seguridad está disponible pero depende principalmente de la iniciativa del individuo.
DS5 NM 2.8
La seguridad de TI es vista primordialmente como responsabilidad y disciplina de TI, y el negocio no ve la seguridad de TI como parte de su propia disciplina.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS5 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS5
DS5 NM 3.1
Se tiene conciencia sobre la seguridad y ésta es promovida por la administración.
DS5 NM 3.2
Los procedimientos de seguridad de TI están definidos y alineados con la política de seguridad de TI.
DS5 NM 3.3
Las responsabilidades de la seguridad d TI, están asignadas y entendidas, pero no continuamente implementadas.
DS5 NM 3.4
Se cuenta con un plan de seguridad de TI y se tienen soluciones de seguridad motivadas por un análisis de riesgo.
DS5 NM 3.5
Los reportes no contienen un enfoque claro de negocio.
DS5 NM 3.6
Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos).
DS5 NM 3.7
Se tiene una capacitación en seguridad para TI y para el negocio, pero se programa y se comunica de manera informal.
No
Nivel Superior
99 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS5 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS5 NM 4.1
La responsabilidades sobre la seguridad de TI son asignadas, administradas e implementadas de forma clara.
DS5 NM 4.2
Regularmente se lleva a cabo un análisis de impacto y de riesgos de seguridad.
DS5 NM 4.3
Las políticas y prácticas de seguridad se complementan con referencias de seguridad específicas.
DS5 NM 4.4
El contacto con métodos para promover la conciencia de la seguridad es obligatorio.
DS5 NM 4.5
La identificación, autenticación y autorización de los usuarios está estandarizada.
DS5 NM 4.6
La certificación en seguridad es buscada por parte del personal que es responsable de la auditoría y la administración de la seguridad.
DS5 NM 4.7
Las pruebas de seguridad se hacen utilizando procesos estándares y formales que llevan a mejorar los niveles de seguridad.
DS5 NM 4.8
Los procesos de seguridad de TI están coordinados con la función de seguridad de toda la organización.
DS5 NM 4.9
Los reportes de seguridad están ligados con los objetivos del negocio.
DS5 NM 4.10
La capacitación sobre seguridad se imparte tanto para TI como para el negocio.
DS5 NM 4.11
La capacitación sobre seguridad se imparte tanto para TI como para el negocio y a los perfiles de riesgo de seguridad.
DS5 NM 4.12
Los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) ya están definidos pero no se miden aún.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS5 NM 5
Nivel de Madurez 5 - Optimizado Si
DS5
DS5 NM 5.1
La seguridad en TI es una responsabilidad conjunta del negocio y de la gerencia de TI y está integrada con los objetivos de seguridad del negocio en la corporación
DS5 NM 5.2
Los requerimientos de seguridad de TI están definidos de forma clara, optimizados e incluidos en un plan de seguridad aprobado.
DS5 NM 5.3
Los usuarios y los clientes se responsabilizan cada vez más de definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño.
DS5 NM 5.4
Los incidentes de seguridad son atendidos de forma inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas.
DS5 NM 5.5
Se llevan a cabo valoraciones de seguridad de forma periódica para evaluar la efectividad de la implementación del plan de seguridad.
DS5 NM 5.6
La información sobre amenazas y vulnerabilidades se recolecta y analiza de manera sistemática.
DS5 NM 5.7
Se recolectan e implementan de forma oportuna controles adecuados para mitigar riesgos.
DS5 NM 5.8
Se llevan a cabo pruebas de seguridad, análisis de causa - efecto e identificación pro activa de riesgos para la mejora continua de procesos.
DS5 NM 5.9
Los procesos de seguridad y la tecnología están integrados a lo largo de toda la organización.
DS5 NM 5.10
Los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) para administración de seguridad son recopilados y comunicados.
DS5 NM 5.11
La administración utiliza a los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) para ajustar el plan de seguridad en un proceso de mejora continua.
No
100 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS6
Índice
DS 6 Identificar y Asignar Costos
EVALUE CORRECTAMENTE EL DS 6.1 DS 6.1
Definición de servicios Si
DS 6.1.1
Se identifican todos los costos de TI y se equiparan a los servicios de TI para soportar un modelo de costos transparente.
DS 6.1.2
Los servicios de TI se vinculan a los procesos del negocio de forma que el negocio pueda identificar los niveles de facturación de los servicios asociados.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL DS 6.2 DS 6.2
Contabilización de TI Si
DS 6.2.1
Se registran y se asignan los costos actuales de acuerdo con el modelo de costos definido.
DS 6.2.2
Las variaciones entre los presupuestos y los costos actuales se analizan y reportan de acuerdo con los sistemas de medición financiera de la empresa.
No
No Aplica
EVALUE CORRECTAMENTE EL DS 6.3 DS 6.3
Modelación de costos y cargos Si
No
No Aplica
Con base en la definición del servicio, se define un modelo de costos (de los servicios) que incluye: DS 6.3.1
1. Costos directos
DS 6.3.2
2. Costos indirectos
DS 6.3.3
3. Costos fijos
DS 6.3.4
4. Apoya el cálculo de tarifas de reintegros de cobro por servicio.
DS 6.3.5
El modelo de costos está alineado con los procedimientos de contabilización de costos de la empresa.
DS 6.3.6
El modelo de costos de TI garantiza que los cargos por servicios son identificables, medibles y predecibles por parte de los usuarios para propiciar el adecuado uso de los recursos.
DS 6.3.9
La administración de usuarios verifica el uso actual y los cargos de los servicios.
EVALUE CORRECTAMENTE EL DS 6.4 DS 6.4
Mantenimiento del modelo de costos Si
DS 6.4.1
DS6
No
No Aplica
Se revisa y compara de forma regular lo apropiado del modelo de costos/recargos para mantener su relevancia para el negocio en evolución y para las actividades de TI.
101 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS6
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS6 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS6 NM 1.1
Se cuenta con un entendimiento general de los costos globales de los servicios de información, pero no Se cuenta con una distribución de costos por usuario, cliente, departamento, grupos de usuarios, funciones de servicio, proyectos o entregables.
DS6 NM 1.2
Es casi nulo el monitoreo de los costos, sólo se reportan a la administración los costos agregados.
DS6 NM 1.3
La distribución de costos de TI se hace como un costo fijo de operación.
DS6 NM 1.4
Al negocio no se le brinda información sobre el costo o los beneficios de la prestación del servicio.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS6 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS6 NM 2.1
Se tiene conciencia general de la necesidad de identificar y asignar costos.
DS6 NM 2.2
La asignación de costos esta basada en suposiciones de costos informales o rudimentarios, por ejemplo, costos de hardware, y prácticamente no tiene relación con los generadores de valor.
DS6 NM 2.3
Los procesos de asignación de costos pueden repetirse.
DS6 NM 2.4
No Se carece de capacitación o comunicación formal sobre la identificación de costos estándar y sobre los procedimientos de asignación.
DS6 NM 2.5
No está asignada la responsabilidad sobre la recopilación o la asignación de los costos.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS6 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS6
DS6 NM 3.1
Se tiene un modelo definido y documentado de costos de servicios de información.
DS6 NM 3.2
Se ha definido un proceso para relacionar costos de TI con los servicios prestados a los usuarios.
DS6 NM 3.3
Se tiene un nivel apropiado de conciencia de los costos atribuibles a los servicios de información.
DS6 NM 3.4
Al negocio se le brinda información muy básica sobre costos.
No
Nivel Superior
102 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS6 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS6 NM 4.1
Las responsabilidades sobre la administración de costos de los servicios de información están bien definidas y bien entendidas a todos los niveles, y son soportadas con capacitación formal.
DS6 NM 4.2
Los costos directos e indirectos están identificados y se reportan de forma oportuna y automatizada a la administración, a los propietarios de los procesos de negocio y a los usuarios.
DS6 NM 4.3
Por lo general, se tiene un monitoreo y evaluación de costos, y se toman acciones cuando se detectan desviaciones de costos.
DS6 NM 4.4
El reporte del costo de los servicios de información esta ligado a los objetivos del negocio y los acuerdos de niveles de servicio, y son vigilados por los propietarios de los procesos de negocio.
DS6 NM 4.5
Una función financiera revisa que el proceso de asignación de costos sea razonable.
DS6 NM 4.6
Se tiene un sistema automatizado de distribución de costos, pero se enfoca principalmente en la función de los servicios de información en vez de hacerlo en los procesos de negocio.
DS6 NM 4.7
Se acordaron los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) para mediciones de costos, pero son medidos de manera inconsistente
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS6 NM 5
Nivel de Madurez 5 - Optimizado Si
DS6
DS6 NM 5.1
Los costos de los servicios prestados se identifican, registran, resumen y reportan a la administración, a los propietarios de los procesos de negocio y a los usuarios.
DS6 NM 5.2
Los costos se identifican como productos cobrables y pueden soportar un sistema de cobro que cargue a los usuarios por los servicios prestados, con base en la utilización.
DS6 NM 5.3
Los detalles de costos soportan los acuerdos de niveles de servicio.
DS6 NM 5.4
El monitoreo y la evaluación del costo de los servicios se utilizan para optimizar el costo de los recursos de TI.
DS6 NM 5.5
Las cifras obtenidas de los costos se usan para verificar la obtención de beneficios y para el proceso de presupuesto de la organización.
DS6 NM 5.6
Los reportes sobre el costo de los servicios de información brindan advertencias oportunas de cambios en los requerimientos del negocio, por medio del uso de sistemas de reporte inteligentes.
DS6 NM 5.7
Se utiliza un modelo de costos variables, derivado de los volúmenes de datos procesados de cada servicio prestado.
DS6 NM 5.8
La administración de costos se ha llevado a un nivel de práctica industrial, basada en el resultado de mejoras continuas y de comparación con otras organizaciones.
DS6 NM 5.9
La optimización de costos es un proceso constante.
DS6 NM 5.10
La administración revisa los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) como parte de un proceso de mejora continua en el rediseño de los sistemas de medición de costos.
No
103 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS7
Índice
DS 7 Educar y Capacitar a los Usuarios
EVALUE CORRECTAMENTE EL DS 7.1 DS 7.1
Identificación de necesidades de capacitación y educación Si
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se establece y actualiza de forma regular un programa de capacitación para cada grupo objetivo de empleados, que incluya: DS 7.1.1
1. La estrategias y requerimientos actuales y futuros del negocio.
DS 7.1.2
2. Los valores corporativos (valores éticos, cultura de control y seguridad, etc.) .
DS 7.1.3
3. La implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones).
DS 7.1.4
4. Las habilidades, perfiles de competencias y certificaciones actuales y/o credenciales necesarias.
DS 7.1.5
5. Los métodos de entrega (por ejemplo, aula, web), tamaño del grupo objetivo, accesibilidad y tiempo.
EVALUE CORRECTAMENTE EL DS 7.2 DS 7.2
Entrega de capacitación y educación Si
No
No Aplica
Con base en las necesidades de capacitación y educación se identifican: DS 7.2.1
1. Los grupos objetivo y sus miembros
DS 7.2.3
2. Los mecanismos de entrega eficientes
DS 7.2.4
3. Los maestros, instructores y consejeros
DS 7.2.5
Se nombran a los instructores y se organiza el instructor con tiempo suficiente.
DS 7.2.6
Se toma nota del registro (incluyendo prerrequisitos), la asistencia y de las evaluaciones de desempeño.
EVALUE CORRECTAMENTE EL DS 7.3 DS 7.3
Evaluación de la capacitación recibida Si
No
No Aplica
Al finalizar la capacitación, se evalúa respecto a: DS 7.3.1
1. La relevancia, calidad y efectividad.
DS 7.3.2
2. La percepción y retención del conocimiento.
DS 7.3.3
3. El costo y valor.
DS 7.3.4
DS7
Se evalúa el resultado de la capacitación para ser utilizada en la definición futura de los planes de estudio y sesiones posteriores de la misma.
104 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS7
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS7 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS7 NM 1.1
Se tiene evidencia de que la organización ha reconocido la necesidad de contar con un programa de capacitación y educación, pero no se tienen procedimientos estandarizados
DS7 NM 1.2
A falta de un proceso organizado, los empleados han buscado y asistido a cursos de capacitación por su cuenta.
DS7 NM 1.3
Algunos de estos cursos de capacitación abarca los temas de conducta ética, conciencia sobre la seguridad en los sistemas y prácticas de seguridad.
DS7 NM 1.4
El enfoque global de la administración carece de cohesión y sólo se dispone de comunicación esporádica e inconsistente respecto a los problemas y enfoques para hacerse cargo del capacitación y la educación.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS7 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS7 NM 2.1
Se tiene conciencia sobre la necesidad de un programa de capacitación y educación, y sobre los procesos asociados a lo largo de toda la organización.
DS7 NM 2.2
El capacitación está comenzando a identificarse en los planes de desempeño individuales de los empleados.
DS7 NM 2.3
Los procesos se han desarrollado hasta la fase en la cual se imparte capacitación informal por parte de diferentes instructores, cubriendo los mismos temas de materias con diferentes puntos de vista.
DS7 NM 2.4
Algunas de las clases abarcan los temas de conducta ética y de conciencia sobre prácticas y actividades de seguridad en los sistemas.
DS7 NM 2.5
Se tiene una gran dependencia del conocimiento de los individuos.
DS7 NM 2.6
Se tiene una comunicación consistente sobre los problemas globales y sobre la necesidad de atenderlos.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS7 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS7
DS7 NM 3.1
El programa de capacitación y educación se institucionaliza y comunica, y los empleados y gerentes identifican y documentan las necesidades de capacitación.
DS7 NM 3.2
Los procesos de capacitación y educación se estandarizan y documentan.
DS7 NM 3.3
Para soportar el programa de capacitación y educación, se establecen presupuestos, recursos, instructores e instalaciones.
DS7 NM 3.4
Se imparten clases formales sobre conducta ética y sobre conciencia y prácticas de seguridad en los sistemas.
DS7 NM 3.5
La mayoría de los procesos de capacitación y educación son monitoreados, pero no todas las desviaciones son susceptibles de detección por parte de la administraciones.
DS7 NM 3.6
El análisis sobre problemas de capacitación y educación solo se aplica de forma ocasional.
No
Nivel Superior
105 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS7 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS7 NM 4.1
Se cuenta con un programa completo de capacitación y educación que produce resultados medibles.
DS7 NM 4.2
Las responsabilidades son claras y se establece la propiedad sobre los procesos.
DS7 NM 4.3
El capacitación y la educación son componentes de los planes de carrera de los empleados.
DS7 NM 4.4
La administración apoya y asiste a sesiones de capacitación y de educación.
DS7 NM 4.5
Todos los empleados reciben capacitación sobre conducta ética y sobre conciencia y prácticas de seguridad en los sistemas.
DS7 NM 4.6
Todos los empleados reciben el nivel apropiado de capacitación sobre prácticas de seguridad en los sistemas para proteger contra daños originados por fallas que afecten la disponibilidad, la confidencialidad y la integridad.
DS7 NM 4.7
La administración monitorea el cumplimiento por medio de revisión constante y actualización del programa y de los procesos de capacitación.
DS7 NM 4.8
Los procesos están en vía de mejora y fomentan las mejores prácticas internas.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS7 NM 5
Nivel de Madurez 5 - Optimizado Si
DS7
DS7 NM 5.1
El capacitación y la educación dan como resultado la mejora del desempeño individual.
DS7 NM 5.2
El capacitación y la educación son componentes críticos de los planes de carrera de los empleados.
DS7 NM 5.3
Se asignan suficientes presupuestos, recursos, instalaciones e instructores para los programas de capacitación y educación.
DS7 NM 5.4
Los procesos se afinan y están en continua mejora, tomando ventaja de las mejores prácticas externas y de modelos de madurez de otras organizaciones.
DS7 NM 5.5
Todos los problemas y desviaciones se analizan para identificar las causas de raíz, se identifican y llevan a cabo acciones de forma expedita.
DS7 NM 5.6
Se tiene una actitud positiva con respecto a la conducta ética y respecto a los principios de seguridad en los sistemas.
DS7 NM 5.7
TI se utiliza de manera amplia, integral y óptima para automatizar y brindar herramientas para los programas de capacitación y educación.
DS7 NM 5.8
Se utilizan expertos externos en capacitación y se utilizan los estudios comparativos de mercado (benchmarks) como orientación.
No
106 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS8
Índice
DS 8 Administrar el Escritorio de Servicio y los Incidentes
EVALUE CORRECTAMENTE EL DS 8.1 DS 8.1
Mesa de Servicios Si
DS 8.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se establece la función de mesa de servicio como conexión del usuario con TI.
La mesa de servicios registra, comunica, atiende y analiza: DS 8.1.2
1. Todas las llamadas.
DS 8.1.3
2. Los incidentes reportados.
DS 8.1.4
3. Los requerimientos de servicio.
DS 8.1.5
4. Las solicitudes de información.
DS 8.1.6
Se dispone de procedimientos de monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs.
DS 8.1.7
Los procedimientos de monitoreo y escalamiento permiten la clasificación y priorización de cualquier reporte de incidente, solicitud de servicio o información.
DS 8.1.8
Se mide la satisfacción del usuario final en cuanto a la calidad de la mesa de servicio y los servicios de TI.
EVALUE CORRECTAMENTE EL DS 8.2 DS 8.2
Registro de consultas de clientes Si
DS 8.2.1
No
No Aplica
Se dispone de una función y un sistema que permitan el registro y rastreo de las llamadas, incidentes, solicitudes de servicio y necesidades de información. Dicha función trabaja estrechamente con los procesos de:
DS8
DS 8.2.2
1. Administración de incidentes.
DS 8.2.3
2. Administración de problemas.
DS 8.2.4
3. Administración de cambios.
DS 8.2.5
4. Administración de la capacidad.
DS 8.2.6
5. Administración de la disponibilidad.
DS 8.2.7
Los incidentes se clasifican de acuerdo al negocio y a la prioridad del servicio.
DS 8.2.8
Los incidentes se enrrutan al equipo de administración de problemas apropiado.
DS 8.2.9
Se mantienen informados a los clientes sobre el estatus de sus consultas.
107 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 8.3 DS 8.3
Escalamiento de incidentes Si
DS 8.3.1
Se disponen de procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites acordados en el SLA y, si es adecuado, brindar soluciones alternas.
DS 8.3.2
Se garantiza que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de resolución.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL DS 8.4 DS 8.4
Cierre de incidentes Si
DS 8.4.1
No
No Aplica
Se disponen de procedimientos para el monitoreo puntual de la resolución de consultas de los clientes. Cuando se resuelve el incidente, en la mesa de servicios:
DS 8.4.2
1. Se registra la causa raíz, si la conoce.
DS 8.4.3
2. Se confirma que la acción tomada fue acordada con el cliente.
EVALUE CORRECTAMENTE EL DS 8.5 DS 8.5
Análisis de tendencia Si
DS8
DS 8.5.1
Se emiten reportes de la actividad de la mesa de servicios.
DS 8.5.2
La información contenida en los reportes de la actividad de la mesa de servicios permite medir el desempeño del servicio, los tiempos de respuesta, así como identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.
No
No Aplica
108 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS8
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS8 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS8 NM 1.1
La administración reconoce que requiere un proceso soportado por herramientas y personal para responder a las consultas de los usuarios y administrar la resolución de incidentes.
DS8 NM 1.2
Sin embargo, se trata de un proceso no estandarizado y sólo se brinda soporte reactivo.
DS8 NM 1.3
La administración no monitorea las consultas de los usuarios, los incidentes o las tendencias.
DS8 NM 1.4
Se carece de un proceso de escalamiento para garantizar que los problemas se resuelvan.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS8 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS8
DS8 NM 2.1
Se tiene conciencia organizacional de la necesidad de una función de mesa de servicio y de un proceso de administración de incidentes
DS8 NM 2.2
Se dispone de ayuda informal a través de una red de individuos expertos.
DS8 NM 2.3
Estos individuos tienen a su disposición algunas herramientas comunes para ayudar en la resolución de incidentes.
DS8 NM 2.4
No se tiene capacitación formal y la comunicación sobre procedimientos estándar y la responsabilidad es delegada al individuo.
No
Nivel Superior
109 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS8 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS8 NM 3.1
Se reconoce y se acepta la necesidad de contar con una función de mesa de servicio y un proceso para la administración de incidentes.
DS8 NM 3.2
Los procedimientos se estandarizan y documentan, pero se lleva acabo capacitación informal.
DS8 NM 3.3
Se deja la responsabilidad al individuo de conseguir capacitación y de seguir los estándares.
DS8 NM 3.4
Se desarrollan guías de usuario y preguntas frecuentes (FAQs), pero los individuos deben encontrarlas y puede ser que no las sigan.
DS8 NM 3.5
Las consultas y los incidentes se rastrean de forma manual y se monitorean de forma individual, pero no se tiene un sistema formal de reporte.
DS8 NM 3.6
No se mide la respuesta oportuna a las consultas e incidentes y los incidentes pueden quedar sin resolución.
DS8 NM 3.7
Los usuarios han recibido indicaciones claras de dónde y cómo reportar problemas e incidentes.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS8 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS8 NM 4.1
En todos los niveles de la organización se cuenta con un total entendimiento de los beneficios de un proceso de administración de incidentes y la función de mesa de servicio se ha establecido en las unidades organizacionales apropiadas.
DS8 NM 4.2
Las herramientas y técnicas están automatizadas con una base de conocimientos centralizada.
DS8 NM 4.3
El personal de la mesa de servicio interactúa muy de cerca con el personal de administración de problemas.
DS8 NM 4.4
Las responsabilidades son claras y se monitorea su efectividad.
DS8 NM 4.5
Los procedimientos para comunicar, escalar y resolver incidentes han sido establecidos y comunicados.
DS8 NM 4.6
El personal de la mesa de servicio está capacitado y los procesos se mejoran a través del uso de software para tareas específicas.
DS8 NM 4.7
La administración ha desarrollado los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) para el desempeño de la mesa de servicio.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS8 NM 5
Nivel de Madurez 5 - Optimizado Si
DS8
DS8 NM 5.1
El proceso de administración de incidentes y la función de mesa de servicio están bien organizados y establecidos y se llevan a cabo con un enfoque de servicio al cliente ya que son expertos, enfocados al cliente y útiles.
DS8 NM 5.2
Los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) son medidos y reportados sistemáticamente.
DS8 NM 5.3
Una amplia y extensa cantidad de preguntas frecuentes son parte integral de la base de conocimientos.
DS8 NM 5.4
Se tiene a disposición del usuario, herramientas para llevar a cabo auto diagnósticos y para resolver incidentes.
DS8 NM 5.5
La asesoría es consistente y los incidentes se resuelven de forma rápida dentro de un proceso estructurado de escalamiento.
DS8 NM 5.6
La administración utiliza una herramienta integrada para obtener estadísticas de desempeño del proceso de administración de incidentes y de la función de mesa de servicio.
DS8 NM 5.7
Los procesos han sido afinados al nivel de las mejores prácticas de la industria, con base en los resultados del análisis de los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs), de la mejora continua y de benchmarking con otras organizaciones
No
110 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS9
Índice
DS 9 Administrar la Configuración
EVALUE CORRECTAMENTE EL DS 9.1 DS 9.1
Repositorio de configuración y línea base Si
DS 9.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se establece un repositorio central que contenga toda la información referente a los elementos de configuración. El repositorio incluye :
DS 9.1.2
1. El hardware.
DS 9.1.3
2. El software aplicativo.
DS 9.1.4
3. El middleware.
DS 9.1.5
4. Los parámetros .
DS 9.1.6
5. La documentación.
DS 9.1.7
6. Los procedimientos.
DS 9.1.8
7. Las herramientas para operar, acceder y utilizar los sistemas y los servicios.
DS 9.1.9
Se considera información relevante es el nombre, números de versión y detalles de licenciamiento.
DS 9.1.10
Se mantiene una línea base de los ítems de configuración para todos los sistemas y servicios, de manera que exista un punto de control al cual se pueda retornar después de los cambios
EVALUE CORRECTAMENTE EL DS 9.2 DS 9.2
Identificación y mantenimiento de elementos de configuración Si
No
No Aplica
Se cuenta con procedimientos para: DS 9.2.1
1. Identificar elementos de configuración y sus atributos
DS 9.2.2
2. Registrar elementos de configuración nuevos, modificados y eliminados
DS 9.2.3
3. Identificar y mantener las relaciones entre los elementos de configuración y el repositorio de configuraciones.
DS 9.2.4
4. Actualizar los elementos de configuración existentes en el repositorio de configuraciones.
DS 9.2.5
DS 9.2.6
5. Prevenir la inclusión de software no-autorizado Los procedimientos brindan una adecuada autorización y registro de todas las acciones sobre el repositorio de configuración, así como su integración con los procedimientos de administración de cambios y problemas
EVALUE CORRECTAMENTE EL DS 9.3 DS 9.3
Revisión de integridad de la configuración Si
DS9
DS 9.3.1
Se revisa y verifica de manera regular el estado de los elementos de configuración para confirmar la integridad de la configuración de datos actual e histórica y para comparar con la situación actual.
DS 9.3.2
Se revisa periódicamente contra la política de uso de software, la existencia de cualquier software personal o no autorizado de cualquier instancia de software por encima de los acuerdos de licenciamiento actuales.
DS 9.3.3
Se reportan, atienden y corrigen los errores y desviaciones en la integridad de la configuración
No
No Aplica
111 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS9
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS9 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS9 NM 1.1
Se reconoce la necesidad de contar con una administración de la configuración.
DS9 NM 1.2
Se llevan a cabo tareas básicas de administración de configuraciones, tales como mantener inventarios de hardware y software pero de manera individual.
DS9 NM 1.3
No están definidas prácticas estandarizadas.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS9 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS9 NM 2.1
La administración esta consciente de la necesidad de controlar la configuración de TI y entiende los beneficios de mantener información completa y precisa sobre las configuraciones, pero se tiene una dependencia implícita del conocimiento y experiencia del personal técnico.
DS9 NM 2.2
Las herramientas para la administración de configuraciones se utilizan hasta cierto grado, pero difieren entre plataformas.
DS9 NM 2.3
No se han definido prácticas estandarizadas de trabajo.
DS9 NM 2.4
El contenido de la información de la configuración es limitado y no lo utilizan los procesos interrelacionados, tales como administración de cambios y administración de problemas
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS9 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS9
DS9 NM 3.1
Los procedimientos y las prácticas de trabajo se han documentado, estandarizado y comunicado, pero la habilitación y la aplicación de estándares depende del individuo.
DS9 NM 3.2
Se han implementado herramientas similares de administración de configuración entre plataformas.
DS9 NM 3.3
Es poco probable detectar las desviaciones de los procedimientos y las verificaciones físicas se realizan de manera inconsistentemente.
DS9 NM 3.4
Se lleva a cabo algún tipo de automatización para ayudar a rastrear cambios en el software o en el hardware.
DS9 NM 3.5
La información de la configuración es utilizada por los procesos interrelacionados
No
Nivel Superior
112 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS9 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS9 NM 4.1
En todos los niveles de la organización se reconoce la necesidad de administrar la configuración y las buenas prácticas continúan evolucionando.
DS9 NM 4.2
Los procedimientos y los estándares se comunican e incorporan a la capacitación y las desviaciones son monitoreadas, rastreadas y reportadas.
DS9 NM 4.3
Se utilizan herramientas automatizadas para fomentar el uso de estándares y mejorar la estabilidad.
DS9 NM 4.4
Los sistemas de administración de configuraciones cubren la mayoría de los activos de TI y permiten una adecuada administración de liberaciones y control de distribución
DS9 NM 4.5
Los análisis de excepciones, así como las verificaciones físicas, se aplican de manera consistente y se investigan las causas desde su raíz
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS9 NM 5
Nivel de Madurez 5 - Optimizado Si
DS9
DS9 NM 5.1
Todos los activos de TI se administran en un sistema central de configuraciones que contiene toda la información necesaria acerca de los componentes, sus interrelaciones y eventos
DS9 NM 5.2
La información de las configuraciones está alineada con los catálogos de los proveedores.
DS9 NM 5.3
Se tiene una completa integración de los procesos interrelacionados, y estos utilizan y actualizan la información de la configuración de manera automática.
DS9 NM 5.4
Los reportes de auditoría de línea base, brindan información esencial sobre el software y hardware con respecto a reparaciones, servicios, garantías, actualizaciones y evaluaciones técnicas de cada unidad individual.
DS9 NM 5.5
Se fomentan las reglas para limitar la instalación de software no autorizado.
DS9 NM 5.6
La administración proyecta las reparaciones y las actualizaciones utilizando reportes de análisis que proporcionan funciones de programación de actualizaciones y de renovación de tecnología.
DS9 NM 5.7
El rastreo de activos y el monitoreo de activos individuales de TI los protege y previene de robo, de mal uso y de abusos.
No
113 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS10
Índice
DS 10 Administración de Problemas
EVALUE CORRECTAMENTE EL DS 10.1 DS 10.1
Identificación y clasificación de problemas Si
DS 10.1.1
Se implementa procesos para reportar y clasificar problemas que han sido identificados como parte de la administración de incidentes.
DS 10.1.2
Los pasos involucrados en la clasificación de problemas son similares a los pasos para clasificar incidentes, tales como la determinación la categoría, impacto, urgencia y prioridad.
DS 10.1.3
Los problemas se categorizan de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware, software y software de soporte)
DS 10.1.4
Los grupos coinciden con las responsabilidades organizacionales o con la base de usuarios y clientes, y son utilizados para asignar los problemas al personal de soporte.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL DS 10.2 DS 10.2
Rastreo y resolución de problemas Si
No
No Aplica
El sistema de administración de problemas mantiene pistas de auditoría adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados considerando: DS 10.2.1
1. Todos los elementos de configuración asociados
DS 10.2.2
2.Los problemas e incidentes sobresalientes
DS 10.2.3
3. Los errores conocidos y sospechados
DS 10.2.4
Se identifican soluciones sostenibles indicando la causa raíz, incrementando las solicitudes de cambio por medio del proceso de administración de cambios establecido.
DS 10.2.5
En todo el proceso de resolución, la administración de problemas obtiene reportes regulares de la administración de cambios sobre el progreso en la resolución de problemas y errores.
DS 10.2.6
La administración de problemas monitorea el continuo impacto de los problemas y errores conocidos en los servicios a los usuarios.
DS 10.2.7
En caso de que el impacto se vuelva severo, la administración de problemas escala el problema, tal vez refiriéndolo a un comité determinado para incrementar la prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que resulte más pertinente.
DS 10.2.8
El avance de la resolución de un problema es monitoreado contra los niveles de servicio (SLAs).
EVALUE CORRECTAMENTE EL DS 10.3 DS 10.3
Cierre de problemas Si
DS 10.3.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se dispone de un procedimiento para cerrar registros de problemas, ya sea después de confirmar la eliminación exitosa del error conocido o después de acordar con el negocio cómo manejar el problema de manera alternativa.
EVALUE CORRECTAMENTE EL DS 10.4 DS 10.4
Integración de las administraciones de cambios, configuración y problemas Si
DS10
DS 10.4.1
Se garantiza una adecuada administración de problemas e incidentes, así como la integración los procesos relacionados de administración de cambios, configuración y problemas.
DS 10.4.2
Se monitorea cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al negocio y, en los casos que sean necesarios, mejorar estos procesos para minimizar los problemas.
No
No Aplica
114 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS10
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS10 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS10 NM 1.1
Los individuos reconocen la necesidad de administrar los problemas y de revolver las causas de fondo.
DS10 NM 1.2
Algunos individuos expertos clave brindan asesoría sobre problemas relacionados sobre su área de experiencia, pero no está asignada la responsabilidad para la administración de problemas.
DS10 NM 1.3
La información no se comparte, resultando en la creación de nuevos problemas y la pérdida de tiempo productivo mientras se buscan respuestas
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS10 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS10 NM 2.1
Se tiene una amplia conciencia sobre la necesidad y los beneficios de administrar los problemas relacionados con TI, tanto dentro de las áreas de negocio como en la función de servicios de información.
DS10 NM 2.2
El proceso de resolución ha evolucionado a un punto en el que unos cuantos individuos clave son responsables de identificar y resolver los problemas.
DS10 NM 2.3
La información se comparte entre el personal de manera informal y reactiva.
DS10 NM 2.4
El nivel de servicio hacia la comunidad usuaria varía y es obstaculizado por la falta de conocimiento estructurado a disposición del administrador de problemas
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS10 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS10
DS10 NM 3.1
Se acepta la necesidad de un sistema integrado de administración de problemas y se evidencia con el apoyo de la administración y la asignación de presupuesto para personal y capacitación.
DS10 NM 3.2
Se estandarizan los procesos de escalamiento y resolución de problemas.
DS10 NM 3.3
El registro y rastreo de problemas y de sus soluciones se dividen dentro del equipo de respuesta, utilizando las herramientas disponibles sin centralizar.
DS10 NM 3.4
Es poco probable detectar las desviaciones de los estándares y de las normas establecidas.
DS10 NM 3.5
La información se comparte entre el personal de manera formal y proactiva.
DS10 NM 3.6
La revisión de incidentes y los análisis de identificación y resolución de problemas son limitados e informales.
No
Nivel Superior
115 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS10 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS10 NM 4.1
El proceso de administración de problemas se entiende a todos los niveles de la organización.
DS10 NM 4.2
Las responsabilidades y la propiedad de los problemas están claramente establecidas.
DS10 NM 4.3
Los métodos y los procedimientos son documentados, comunicados y medidos para evaluar su efectividad.
DS10 NM 4.4
La mayoría de los problemas están identificados, registrados y reportados, y su solución ha iniciado.
DS10 NM 4.5
El conocimiento y la experiencia se cultivan, mantienen y desarrollan hacia un nivel más alto a medida que la función es vista como un activo y una gran contribución al logro de las metas de TI y a la mejora de sus servicios.
DS10 NM 4.6
La administración de problemas está bien integrada con los procesos interrelacionados, tales como incidentes, cambios, administración de la configuración y disponibilidad, apoyo a clientes para manejo de datos, instalaciones y operaciones.
DS10 NM 4.7
Se han acordado los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) para el proceso de administración de problemas.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS10 NM 5
Nivel de Madurez 5 - Optimizado Si
DS10
DS10 NM 5.1
El proceso de administración de problemas ha evolucionado a un proceso proactivo y preventivo, que contribuye con los objetivos de TI.
DS10 NM 5.2
Los problemas se anticipan y previenen.
DS10 NM 5.3
El conocimiento respecto a patrones de problemas pasados y futuros se mantiene a través de contactos regulares con proveedores y expertos.
DS10 NM 5.4
El registro, reporte y análisis de problemas y soluciones está integrado por completo con la administración de datos de configuración.
DS10 NM 5.5
Los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) son medidos de manera consistente.
DS10 NM 5.6
La mayoría de los sistemas están equipados con mecanismos automáticos de advertencia y detección, los cuales son rastreados y evaluados de manera continua.
DS10 NM 5.7
El proceso de administración de problemas se analiza para buscar la mejora continua con base en los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) y se reporta a los interesados.
No
116 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS11
Índice
DS 11 Administración de Datos
EVALUE CORRECTAMENTE EL DS 11.1 DS 11.1
Requerimientos del negocio para administración de datos Si
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se tienen mecanismos para garantizar que: DS 11.1.1
1. El negocio reciba los documentos originales que espera.
DS 11.1.2
2. Se procese toda la información recibida por parte del negocio.
DS 11.1.3
3. Se preparen y entreguen todos los reportes de salida que requiere el negocio.
DS 11.1.4
4. Estén soportadas las necesidades de reinicio y reproceso.
EVALUE CORRECTAMENTE EL DS 11.2 DS 11.2
Acuerdos de almacenamiento y conservación Si
DS 11.2.1
No
No Aplica
Se dispone de procedimientos para el archivo y almacenamiento de los datos, de manera que los datos permanezcan accesibles y utilizables. Los procedimientos consideran:
DS 11.2.2
1. Los requerimientos de recuperación.
DS 11.2.3
2. La rentabilidad.
DS 11.2.4
3. La integridad continua
DS 11.2.5
4. Los requerimientos de seguridad. Para cumplir con los requerimientos legales, regulatorios y de negocio, existen mecanismos de almacenamiento y conservación de:
DS 11.2.6
1. Los documentos.
DS 11.2.7
2. Los datos.
DS 11.2.8
3. Los archivos.
DS 11.2.9
4. Los programas.
DS 11.2.10
5. Los reportes y mensajes (entrantes y salientes)
DS 11.2.11
6. La información (claves, certificados) utilizada para encripción y autenticación.
EVALUE CORRECTAMENTE EL DS 11.3 DS 11.3
Sistema de administración de librerías de medios Si
DS11
DS 11.3.1
Se definen e implementan procedimientos para mantener un inventario de medios en sitio y garantizar su integridad y su uso.
DS 11.3.2
Los procedimientos permiten la revisión oportuna y el seguimiento de cualquier discrepancia que se perciba.
No
No Aplica
117 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 11.4 DS 11.4
Eliminación Si
DS 11.4.1
Se definen e implementan procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso.
DS 11.4.2
Los procedimientos garantizan que los datos marcados como borrados o desechados no puedan recuperarse.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL DS 11.5 DS 11.5
Respaldo y restauración Si
No
No Aplica
Se definen e implementan procedimientos de respaldo y restauración de: DS 11.5.1
1. Sistemas
DS 11.5.2
2. Datos.
DS 11.5.3
3. Configuraciones. Los procedimientos de respaldo y restauración están alineados con:
DS 11.5.4
1. Los requerimientos del negocio.
DS 11.5.5
2. El plan de continuidad.
DS 11.5.6
Se verifica el cumplimiento de los procedimientos de respaldo.
DS 11.5.7
Se verifica la capacidad y el tiempo requerido para tener una restauración completa y exitosa.
DS 11.5.8
Se prueba los medios de respaldo y el proceso de restauración.
EVALUE CORRECTAMENTE EL DS 11.6 DS 11.6
Requerimientos de seguridad para la administración de datos Si
No
No Aplica
Se establecen mecanismos para identificar y aplicar requerimientos de seguridad aplicables a: DS 11.6.1
1. La recepción.
DS 11.6.2
2. El procesamiento.
DS 11.6.3
3. El almacenamiento físico.
DS 11.6.4
4. La entrega de información y de mensajes sensitivos. Los mecanismos para identificar y aplicar requerimientos de seguridad incluyen:
DS11
DS 11.6.5
1. Los registros físicos.
DS 11.6.6
2. Los transmisiones de datos.
DS 11.6.7
3. Cualquier información almacenada fuera del sitio.
118 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS11
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS11 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS11 NM 1.1
La organización reconoce la necesidad de una correcta administración de datos.
DS11 NM 1.2
Se dispone de un método adecuado para especificar requerimientos de seguridad en la administración de datos, pero se carece de procedimientos implementados de comunicación formal.
DS11 NM 1.3
No se lleva a cabo la capacitación específica sobre administración de datos.
DS11 NM 1.4
La responsabilidad sobre la administración de datos no es clara.
DS11 NM 1.5
Los procedimientos de respaldo y recuperación y los acuerdos sobre desechos están en orden.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS11 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS11 NM 2.1
A lo largo de toda la organización se tiene conciencia sobre la necesidad de una adecuada administración de datos.
DS11 NM 2.2
A un alto nivel empieza a observarse la propiedad o responsabilidad sobre los datos.
DS11 NM 2.3
Los requerimientos de seguridad para la administración de los datos son documentados por personal clave.
DS11 NM 2.4
Se lleva a cabo algún tipo de monitoreo dentro de TI sobre algunas actividades clave de la administración de datos (respaldos, recuperación y desecho).
DS11 NM 2.5
Las responsabilidades para la administración de datos son asignadas de manera informal a personal clave de TI.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS11 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS11
DS11 NM 3.1
Se entiende y acepta la necesidad de la administración de datos, tanto dentro de TI como a lo largo de toda la organización.
DS11 NM 3.2
Se establece la responsabilidad sobre la administración de los datos.
DS11 NM 3.3
Se asigna la propiedad sobre los datos a la parte que responsable que controla la integridad y la seguridad.
DS11 NM 3.4
Los procedimientos de administración de datos se formalizan dentro de TI y se utilizan algunas herramientas para respaldos / recuperación y desecho de equipo.
DS11 NM 3.5
Se lleva a cabo algún tipo de monitoreo sobre la administración de datos.
DS11 NM 3.6
Se definen métricas básicas de desempeño.
DS11 NM 3.7
Comienza a aparecer la capacitación sobre administración de información.
No
Nivel Superior
119 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS11 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS11 NM 4.1
Se entiende la necesidad de la administración de los datos y las acciones requeridas son aceptadas a lo largo de toda la organización.
DS11 NM 4.2
La responsabilidad de la propiedad y la administración de los datos están definidas, asignadas y comunicadas de forma clara en la organización.
DS11 NM 4.3
Los procedimientos se formalizan y son ampliamente conocidos, el conocimiento se comparte.
DS11 NM 4.4
Comienza a aparecer el uso de herramientas.
DS11 NM 4.5
Se acuerdan con los clientes los indicadores de desempeño y metas y se monitorean por medio de un proceso bien definido.
DS11 NM 4.6
Se lleva a cabo capacitación formal para el personal de administración de datos.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS11 NM 5
Nivel de Madurez 5 - Optimizado Si
DS11
DS11 NM 5.1
Se entiende y acepta dentro de la organización la necesidad de realizar todas las actividades requeridas para la administración de datos.
DS11 NM 5.2
Las necesidades y requerimientos futuros son explorados de manera proactiva.
DS11 NM 5.3
La responsabilidad sobre la propiedad de los datos y la administración de los mismos están establecidas de forma clara, se conoce ampliamente a lo largo de la organización y se actualizan periódicamente.
DS11 NM 5.4
Los procedimientos se formalizan y se conocen ampliamente, la compartición del conocimiento es una práctica estándar.
DS11 NM 5.5
Se utilizan herramientas sofisticadas con un máximo de automatización de la administración de los datos.
DS11 NM 5.6
Se acuerdan con los clientes los indicadores de desempeño y meta, se ligan con los objetivos del negocio y se monitorean de manera regular utilizando un proceso bien definido.
DS11 NM 5.7
Se exploran constantemente oportunidades de mejora.
DS11 NM 5.8
La capacitación para el personal de administración de datos se institucionaliza.
No
120 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS12
Índice
DS 12 Administración del Ambiente Físico
EVALUE CORRECTAMENTE EL DS 12.1 DS 12.1
Selección y diseño del centro de datos Si
DS 12.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se define y selecciona los centros de datos físicos para el equipo de TI para soportar la estrategia de tecnología ligada a la estrategia del negocio. Para el diseño y selección del sitio se consideran los siguientes aspectos:
DS 12.1.2
1. Riesgo asociado con desastres naturales y causados por el hombre.
DS 12.1.3
2. Las leyes y regulaciones correspondientes tales como regulaciones de seguridad y de salud ocupacional.
EVALUE CORRECTAMENTE EL DS 12.2 DS 12.2
Medidas de seguridad física Si
DS 12.2.1
No
No Aplica
Se define e implementa medidas de seguridad físicas alineadas con los requerimientos del negocio. Las medidas incluyen:
DS 12.2.2
1. El esquema del perímetro de seguridad.
DS 12.2.3
2. Las zonas de seguridad.
DS 12.2.4
3. La ubicación de equipo crítico.
DS 12.2.5
DS12
4. Las áreas de envío y recepción.
DS 12.2.6
Se mantiene un perfil bajo respecto a la presencia de operaciones críticas de TI
DS 12.2.7
Se establecen las procedimientos y responsabilidades para monitorear, reportar y resolver los incidentes de seguridad física
121 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL DS 12.3 DS 12.3
Acceso físico Si
DS 12.3.1
Se definen e implementan procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo las emergencias.
DS 12.3.2
El acceso a locales, edificios y áreas se justifica, autoriza, registra y monitorea.
DS 12.3.3
Los procedimientos se aplica para todas las personas que accedan a las instalaciones, incluyendo personal, clientes, proveedores, visitantes o cualquier tercera persona.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL DS 12.4 DS 12.4
Protección contra factores ambientales Si
DS 12.4.1
Se ha diseñado e implementado medidas de protección contra factores ambientales.
DS 12.4.2
Se han instalado dispositivos y equipos especializados para monitorear y controlar el ambiente
No
No Aplica
EVALUE CORRECTAMENTE EL DS 12.5 DS 12.5
Administración de instalaciones físicas Si
No
No Aplica
La administración de las instalaciones, incluyendo los equipos de suministro de energía y comunicaciones están alineados con:
DS12
DS 12.5.1
1. Las leyes y regulaciones.
DS 12.5.2
2. Los requerimientos técnicos y del negocio
DS 12.5.3
3. Las especificaciones del proveedor
DS 12.5.4
4. Los lineamientos de seguridad y salud.
122 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS12
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS12 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS12 NM 1.1
La organización reconoce la necesidad de contar con un ambiente físico que proteja los recursos y el personal contra peligros naturales y causados por el hombre.
DS12 NM 1.2
La administración de instalaciones y de equipo depende de las habilidades de individuos clave.
DS12 NM 1.3
El personal se puede mover dentro de las instalaciones sin restricción.
DS12 NM 1.4
La administración no monitorea los controles ambientales de las instalaciones o el movimiento del personal.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS12 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS12 NM 2.1
Los controles ambientales se implementan y monitorean por parte del personal de operaciones.
DS12 NM 2.2
La seguridad física es un proceso informal, realizado por un pequeño grupo de empleados con alto nivel de preocupación por asegurar las instalaciones físicas.
DS12 NM 2.3
Los procedimientos de mantenimiento de instalaciones no están bien documentados y dependen de las buenas prácticas de unos cuantos individuos.
DS12 NM 2.4
Las metas de seguridad física no se basan en estándares formales y la administración no se asegura de que se cumplan los objetivos de seguridad.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS12 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS12
DS12 NM 3.1
Se entiende y acepta a lo largo de toda la organización la necesidad de mantener un ambiente de cómputo controlado.
DS12 NM 3.2
Los controles ambientales, el mantenimiento preventivo y la seguridad física cuentan con presupuesto autorizado y rastreado por la administración.
DS12 NM 3.3
Se aplican restricciones de acceso, permitiendo el ingreso a las instalaciones de cómputo sólo al personal aprobado.
DS12 NM 3.4
Los visitantes se registran y acompañan dependiendo del individuo.
DS12 NM 3.5
Las instalaciones físicas mantienen un perfil bajo y no son reconocibles de manera fácil.
DS12 NM 3.6
Las autoridades civiles monitorean al cumplimiento con los reglamentos de salud y seguridad.
DS12 NM 3.7
Los riesgos se aseguran con el mínimo esfuerzo para optimizar los costos del seguro.
No
Nivel Superior
123 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS12 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS12 NM 4.1
Se entiende por completo la necesidad de mantener un ambiente de cómputo controlado y se evidencia en la estructura organizacional y en la distribución del presupuesto.
DS12 NM 4.2
Los requerimientos de seguridad físicos y ambientales están documentados y el acceso se monitorea y controla estrictamente.
DS12 NM 4.3
Se establecen y comunican las responsabilidades y la propiedad.
DS12 NM 4.4
El personal de las instalaciones ha sido entrenado por completo respecto a situaciones de emergencia, así como en prácticas de salud y seguridad.
DS12 NM 4.5
Los mecanismos de control estandarizados, se encuentran en un lugar de acceso restringido dentro de las instalaciones, para contrarrestar los factores ambientales y de seguridad.
DS12 NM 4.6
La administración monitorea la efectividad de los controles y el cumplimiento de los estándares establecidos
DS12 NM 4.7
La administración ha establecido los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) para medir la administración del ambiente de cómputo
DS12 NM 4.8
La capacidad de recuperación de los recursos de cómputo se incorpora en un proceso organizacional de administración de riesgos.
DS12 NM 4.9
La información integrada se usa para optimizar la cobertura de los seguros y de los costos asociados.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS12 NM 5
Nivel de Madurez 5 - Optimizado Si
DS12
DS12 NM 5.1
Se tiene un plan acordado a largo plazo para las instalaciones requeridas para soportar el ambiente cómputo de la organización.
DS12 NM 5.2
Los estándares están definidos para todas las instalaciones, incluyendo la selección del centro de cómputo, construcción, vigilancia, seguridad personal, sistemas eléctricos y mecánicos, protección contra factores ambientales (por ejemplo, fuego, rayos, inundaciones, etc.).
DS12 NM 5.3
Se clasifican y se hacen inventarios de todas las instalaciones de acuerdo con el proceso continuo de administración de riesgos de la organización.
DS12 NM 5.4
El acceso es monitoreado continuamente y controlado estrictamente con base en las necesidades del trabajo, los visitantes son acompañados en todo momento.
DS12 NM 5.5
El ambiente se monitorea y controla por medio de equipo especializado y las salas de equipo funcionan sin operadores humanos.
DS12 NM 5.6
Los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) se miden regularmente.
DS12 NM 5.7
Los programas de mantenimiento preventivo fomentan un estricto apego a los horarios y se aplican pruebas regulares a los equipos sensibles.
DS12 NM 5.8
Las estrategias de instalaciones y de estándares están alineadas con las metas de disponibilidad de los servicios de TI y están integradas con la administración de crisis y con la planeación de continuidad del negocio.
DS12 NM 5.9
La administración revisa y optimiza las instalaciones utilizando los indicadores claves de desempeño (KPIs) y los indicadores claves de metas (KGIs) de manera continua, capitalizando oportunidades para mejorar la contribución al negocio.
No
124 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL DS13
Índice
DS 13 Administración de Operaciones
EVALUE CORRECTAMENTE EL DS 13.1 DS 13.1
Procedimientos e instrucciones de operación Si
DS 13.1.1
Se han definido, implementado y se mantienen procedimientos estándar para la operaciones de TI
DS 13.1.2
Se garantiza que el personal de operaciones está familiarizado con todas las tareas de operación relativas a ellos.
DS 13.1.3
Los procedimientos de operación cubren los procesos de turno de entrega (estrega formal de la actividad, estado, de las actualizaciones de operación, problemas operacionales, procedimientos de escalamiento y reportes sobre las responsabilidades actuales) para garantizar la continuidad de las operaciones.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL DS 13.2 DS 13.2
Programación de tareas Si
DS 13.2.1
Se organiza la programación de los trabajos, procesos y tareas dentro de una secuencia eficiente, maximizando el rendimientos y utilización para alcanzar los requerimientos del negocio
DS 13.2.2
Se autorizan los programas iniciales así como los cambios a éstos
DS 13.2.3
Los procedimientos están implementados para identificar, investigar y aprobar las salidas de los programas estándar agendados.
No
No Aplica
EVALUE CORRECTAMENTE EL DS 13.3 DS 13.3
Monitoreo de la infraestructura de TI Si
DS 13.3.1
Se han definido e implementado procedimientos para monitorear la infraestructura de TI y eventos relacionados
DS 13.3.2
Se almacena información cronológica en los registros de operaciones que permiten reconstruir, revisar y analizar la secuencia de tiempo de las operaciones y otras actividades que soportan o que están alrededor de las operaciones.
No
No Aplica
EVALUE CORRECTAMENTE EL DS 13.4 DS 13.4
Documentos sensitivos y dispositivos de salida Si
DS 13.4.1
No
No Aplica
Se han establecido resguardos físicos, prácticas de registro y administración de inventarios adecuados sobre los activos de TI más sensitivos tales como formas, instrumentos negociables, impresoras de uso especial o dispositivos de seguridad.
EVALUE CORRECTAMENTE EL DS 13.5 DS 13.5
Mantenimiento preventivo del hardware Si
DS 13.5.1
DS13
No
No Aplica
Se definen e implementan procedimientos para asegurar el mantenimiento oportuno de la infraestructura, de manera que se reduce la frecuencia e impacto de las fallas y degradación del desempeño.
125 de 152
Matriz de Calificación
NIVELES DE MADUREZ DS13
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC DS13 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
DS13 NM 1.1
La organización reconoce la necesidad de estructurar las funciones de soporte de TI.
DS13 NM 1.2
Se establecen algunos procedimientos estándar y las actividades de operaciones son de naturaleza reactiva.
DS13 NM 1.3
La mayoría de los procesos de operación son programados de manera informal y el procesamiento de solicitudes se acepta sin validación previa.
DS13 NM 1.4
Las computadoras, sistemas y aplicaciones que soportan los procesos del negocio con frecuencia no están disponibles, se interrumpen o retrasan.
DS13 NM 1.5
Se pierde tiempo mientras los empleados esperan recursos.
DS13 NM 1.6
Los medios de salida aparecen ocasionalmente en lugares inesperados o no aparecen.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA DS13 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
DS13 NM 2.1
La organización es consciente del papel clave que juegan las operaciones de las actividades de TI en el suministro de las funciones de soporte de TI.
DS13 NM 2.2
Se asignan presupuestos para herramientas basadas en un criterio de caso por caso.
DS13 NM 2.3
Las operaciones de soporte de TI son informales e intuitivas
DS13 NM 2.4
Se tiene una alta dependencia sobre las habilidades de los individuos.
DS13 NM 2.5
Las instrucciones de qué hacer, cuándo y en qué orden no están documentadas.
DS13 NM 2.6
Se tiene alguna capacitación para el operador y se cuentan con algunos estándares de operación formales.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO DS13 NM 3
Nivel de Madurez 3 - Proceso definido Si
DS13
DS13 NM 3.1
Se entiende y acepta dentro de la organización la necesidad de administrar las operaciones de cómputo.
DS13 NM 3.2
Se han asignado recursos y se lleva a cabo alguna capacitación durante el trabajo.
DS13 NM 3.3
Las funciones repetitivas están definidas, estandarizadas, documentadas y comunicadas de manera formal.
DS13 NM 3.4
Los resultados de las tareas completadas y de los eventos se registran, con reportes limitados hacia la administración.
DS13 NM 3.5
Se incorpora el uso de herramientas de programación automatizadas y de otras herramientas para limitar la intervención del operador.
DS13 NM 3.6
Se incorporan controles para colocar nuevos tareas en operación.
DS13 NM 3.7
Se desarrolla una política formal para reducir el número de eventos no programados.
DS13 NM 3.8
Los acuerdos de servicio y mantenimiento con proveedores siguen siendo de naturaleza informal.
No
Nivel Superior
126 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE DS13 NM 4
Nivel de Madurez 4 - Administrado y medible Si
DS13 NM 4.1
Las operaciones de cómputo y las responsabilidades de soporte están definidas de forma clara y la propiedad está asignada.
DS13 NM 4.2
Las operaciones se soportan a través de presupuestos de recursos para gastos de capital y de recursos humanos.
DS13 NM 4.3
La capacitación se formaliza y está en proceso.
DS13 NM 4.4
Las programaciones y las tareas se documentan y comunican, tanto a la función interna de TI como a los clientes del negocio
DS13 NM 4.5
Es posible medir y monitorear las actividades diarias con acuerdos estandarizados de desempeño y de niveles de servicio establecidos.
DS13 NM 4.6
Cualquier desviación de las normas establecidas es atendida y corregida de forma rápida.
DS13 NM 4.7
La administración monitorea el uso de los recursos de cómputo y la terminación del trabajo o de las tareas asignadas.
DS13 NM 4.8
Se tiene un esfuerzo permanente para incrementar el nivel de automatización de procesos como un medio de mejora continua.
DS13 NM 4.9
Se establecen convenios formales de mantenimiento y servicio con los proveedores.
DS13 NM 4.10
Se cuenta con una completa alineación con los procesos de administración de problemas, capacidad y disponibilidad, soportados por un análisis de causas de errores y fallas.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO DS13 NM 5
Nivel de Madurez 5 - Optimizado Si
DS13
DS13 NM 5.1
Las operaciones de soporte de TI son efectivas, eficientes y suficientemente flexibles para cumplir con las necesidades de niveles de servicio con una pérdida de productividad mínima.
DS13 NM 5.2
Los procesos de administración de operaciones de TI están estandarizados y documentados en una base de conocimiento, y están sujetos a una mejora continua.
DS13 NM 5.3
Los procesos automatizados que soportan los sistemas contribuyen a un ambiente estable.
DS13 NM 5.4
Todos los problemas y fallas se analizan para identificar la causa raíz.
DS13 NM 5.5
Las reuniones periódicas con los responsables de administración del cambio garantizan la inclusión oportuna de cambios en las programaciones de producción.
DS13 NM 5.6
En colaboración con los proveedores, el equipo se analiza respecto a posibles síntomas de obsolescencia y fallas, y el mantenimiento es principalmente de naturaleza preventiva
No
127 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL ME1
Índice
ME 1 Monitorear y Evaluar el Desempeño de TI
EVALUE CORRECTAMENTE EL ME 1.1 ME 1.1
Enfoque de monitoreo Si
ME 1.1.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
La administración establece un marco de trabajo de monitoreo general y un enfoque que define el alcance, la metodología y el proceso a seguir. Este marco de trabajo permite monitorear la contribución de TI a:
ME 1.1.2
1. Los resultados de los procesos de administración de programas y de administración del portafolio empresarial.
ME 1.1.3
2. Los procesos que son específicos para la entrega de la capacidad y los servicios de TI.
ME 1.1.4
El marco de trabajo está integrado con el sistema de administración del desempeño corporativo
EVALUE CORRECTAMENTE EL ME 1.2 ME 1.2
Definición y recolección de datos de monitoreo Si
ME 1.2.1
No
No Aplica
Se garantizar que la gerencia de TI, trabaja en conjunto con el negocio y definen un conjunto balanceado de objetivos, mediciones, metas y comparaciones de desempeño y que éstas se encuentren acordadas formalmente con el negocio y otros interesados relevantes. Los indicadores de desempeño incluyen:
ME 1.2.2
1. La contribución al negocio, pero que no se limita a, la información financiera.
ME 1.2.3
2. Desempeño contra el plan estratégico del negocio y de TI.
ME 1.2.4
3. Riesgo y cumplimiento de las regulaciones.
ME 1.2.5
4. Satisfacción del usuario interno y externo.
ME 1.2.6
5. Procesos clave de TI que incluyan desarrollo y entrega del servicio.
ME 1.2.7
6. Actividades orientadas a futuro, por ejemplo, la tecnología emergente, la infraestructura re-utilizable, habilidades del personal de TI y del negocio
ME 1.2.8
Se establecen procesos para recolectar información oportuna y precisa para reportar el avance contra las metas
EVALUE CORRECTAMENTE EL ME 1.3 ME 1.3
Método de monitoreo Si
ME 1.3.1
ME1
No
No Aplica
Se garantiza que el proceso de monitoreo implante un método (ej. Balanced Scorecard), que brinde una visión sucinta y desde todos los ángulos del desempeño de TI y que se adapte al sistema de monitoreo de la empresa.
128 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL ME 1.4 ME 1.4
Evaluación del desempeño Si
ME 1.4.1
Se compara de forma periódica el desempeño contra las metas.
ME 1.4.2
Se desarrollan análisis de causa raíz
ME 1.4.3
Se inician acciones correctivas para subsanar las causas subyacentes.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL ME 1.5 ME 1.5
Reportes al consejo directivo y a ejecutivos Si
ME 1.5.1
No
No Aplica
Se proporcionan reportes administrativos para ser revisados por la alta dirección sobre el avance de la organización hacia metas identificadas, específicamente en términos del desempeño del portafolio empresarial de programas de inversión habilitados por TI, niveles de servicio de programas individuales y la contribución de TI a ese desempeño. Los reportes de estatus deben incluir :
ME 1.5.4
1. El grado en el que se han alcanzado los objetivos planeados
ME 1.5.5
2. Los entregables obtenidos.
ME 1.5.6
3. Las metas de desempeño alcanzados.
ME 1.5.7
ME 1.5.8
4. Los riesgos mitigados. Durante la revisión, se identifica cualquier desviación respecto al desempeño esperado y se inicia y reporta las medidas administrativas adecuadas.
EVALUE CORRECTAMENTE EL ME 1.6 ME 1.6
Acciones correctivas Si
No
No Aplica
Se identifican e inician acciones correctivas basadas en: ME 1.6.1
1. Monitoreo del desempeño.
ME 1.6.2
2. Evaluación del desempeño.
ME 1.6.3
3. Reportes del desempeño. El seguimiento al monitoreo de los reportes y de las evaluaciones incluye:
ME1
ME 1.6.4
1. La revisión, negociación y establecimiento de respuestas administrativas.
ME 1.6.5
2. La asignación de responsabilidades por la corrección.
ME 1.6.6
3. El rastreo de los resultados de las acciones comprometidas.
129 de 152
Matriz de Calificación
NIVELES DE MADUREZ ME1
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC ME1 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
ME1 NM 1.1
La administración reconoce una necesidad de recolectar y evaluar información sobre los procesos de monitoreo.
ME1 NM 1.2
No se han identificado procesos estándar de recolección y evaluación.
ME1 NM 1.3
El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI específicos.
ME1 NM 1.4
El monitoreo por lo general se implanta de forma reactiva a algún incidente que ha ocasionado alguna perdida o vergüenza a la organización.
ME1 NM 1.5
La función de contabilidad monitorea mediciones financieras básicas para TI.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA ME1 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
ME1 NM 2.1
Se han identificado algunas mediciones básicas a ser monitoreadas.
ME1 NM 2.2
Se tienen métodos y técnicas de recolección y evaluación, pero los procesos no se han adoptado en la organización.
ME1 NM 2.3
La interpretación de los resultados del monitoreo se basa en la experiencia de individuos clave.
ME1 NM 2.4
Herramientas limitadas son seleccionadas y se implementan para recolectar información, pero esta recolección no se basa en un enfoque planeado.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO ME1 NM 3
Nivel de Madurez 3 - Proceso definido Si
ME1
ME1 NM 3.1
La administración ha comunicado e institucionalizado un procesos estándar de monitoreo.
ME1 NM 3.2
Se han implementado programas educacionales y de capacitación para el monitoreo.
ME1 NM 3.3
Se ha desarrollado una base de conocimiento formalizada del desempeño histórico
ME1 NM 3.4
Las evaluaciones todavía se realizan al nivel de procesos y proyectos individuales de TI y no están integradas a través de todos los procesos.
ME1 NM 3.5
Se han definido herramientas para monitorear los procesos y los niveles de servicio de TI.
ME1 NM 3.6
Las mediciones de la contribución de la función de los servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales.
ME1 NM 3.7
Las mediciones del desempeño específicas de TI, las mediciones no financieras, las estratégicas, las de satisfacción del cliente y los niveles de servicio están definidas.
ME1 NM 3.8
Se ha definido un marco de trabajo para medir el desempeño.
No
Nivel Superior
130 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE ME1 NM 4
Nivel de Madurez 4 - Administrado y medible Si
ME1 NM 4.1
La administración ha definido las tolerancias bajo las cuales los procesos deben operar.
ME1 NM 4.2
Los reportes de los resultados del monitoreo están en proceso de estandarizarse y normalizarse.
ME1 NM 4.3
Se cuenta una integración de métricas a lo largo de todos los proyectos y procesos de TI.
ME1 NM 4.4
Los sistemas de reportes de la gerencia de TI están formalizados.
ME1 NM 4.5
Las herramientas automatizadas están integradas y se aprovechan en toda la organización para recolectar y monitorear la información operativa de las aplicaciones, sistemas y procesos.
ME1 NM 4.6
La administración puede evaluar el desempeño con base en criterios acordados y aprobados por terceras partes interesadas.
ME1 NM 4.7
Las mediciones de la función de TI están alineadas con las metas de toda la organización.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO ME1 NM 5
Nivel de Madurez 5 - Optimizado Si
ME1
ME1 NM 5.1
Un proceso de mejora continua se ha desarrollado para actualizar los estándares y políticas de monitoreo a nivel organizacional incorporando mejores prácticas de la industria.
ME1 NM 5.2
Todos los procesos de monitoreo están optimizados y dan soporte a los objetivos de toda la organización.
ME1 NM 5.3
Las métricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeño, y están integradas en los marcos de trabajo estratégicos, tales como el Balanced Scorecard.
ME1 NM 5.4
El monitoreo de los procesos y el rediseño continuo son consistentes con los planes de mejora de los procesos de negocio en toda la organización
ME1 NM 5.5
Benchmarks contra la industria y los competidores clave se han formalizado, con criterios de comparación bien entendidos.
No
131 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL ME2
Índice
ME 2 Monitorear y Evaluar el Control Interno
EVALUE CORRECTAMENTE EL ME 2.1 ME 2.1
Monitorear el marco de trabajo de control interno Si
ME 2.1.1
Se monitorea de forma continua el ambiente de control y el marco de control de TI.
ME 2.1.2
Se evalúa haciendo uso de las mejores prácticas de la industria
ME 2.1.3
Se utiliza benchmarking para mejorar el ambiente y el marco de trabajo de control de TI.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL ME 2.2 ME 2.2
Revisiones de auditoría Si
ME 2.2.1
No
No Aplica
Se monitorea y reporta la efectividad de los controles internos sobre TI por medio de revisiones de auditoría, incluyendo, por ejemplo, el cumplimiento de políticas y estándares, seguridad de la información, controles de cambios y controles establecidos en acuerdos de niveles de servicio.
EVALUE CORRECTAMENTE EL ME 2.3 ME 2.3
Excepciones de control Si
ME2
ME 2.3.1
Se registra la información referente a todas las excepciones de control.
ME 2.3.2
Se asegura que se lleve a cabo tanto el análisis de la causa subyacente como la acción correctiva
ME 2.3.3
La administración decide cuáles excepciones se deberían comunicar al individuo responsable de la función y cuáles excepciones deberían ser escaladas.
ME 2.3.4
La administración es responsable de informar a las partes afectadas
No
No Aplica
132 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL ME 2.4 ME 2.4
Auto-evaluación de control Si
ME 2.4.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se evalúa la completitud y efectividad de los controles internos administrativos sobre los procesos, las políticas y contratos de TI por medio de un programa continuo de auto evaluación
EVALUE CORRECTAMENTE EL ME 2.5 ME 2.5
Aseguramiento del control interno Si
ME 2.5.1
Se obtiene, según se necesite, un mayor aseguramiento de la completitud y efectividad de los controles internos por medio de revisiones por terceros
ME 2.5.2
Las revisiones son realizadas por la función de cumplimiento corporativo o, solicitud de la administración, por auditores y consultores externos o por organismos de certificación
ME 2.5.3
Se verifica las aptitudes de los individuos que realicen la auditoría, por ejemplo, un auditor de sistemas de información certificado (CISA)
No
No Aplica
EVALUE CORRECTAMENTE EL ME 2.6 ME 2.6
Control interno para terceros Si
ME 2.6.1
Se determina el estado de los controles internos de cada proveedor externos de servicios
ME 2.6.2
Se confirma que los proveedores externos de servicios cumplan con los requerimientos legales y regulatorios y con las obligaciones contractuales, lo anterior provisto por una auditoría por terceros u obtenido de una revisión por la función de auditoría interna de la administración y el resultado de las auditorías
No
No Aplica
EVALUE CORRECTAMENTE EL ME 2.7 ME 2.7
Acciones correctivas Si
ME 2.7.1
No
No Aplica
Se identifican e inician medidas correctivas basadas en las evaluaciones y en los reportes de control. Las acciones correctivas incluyen el seguimiento de todas las evaluaciones y los reportes con:
ME2
ME 2.7.2
1. La revisión, negociación y establecimiento de respuestas administrativas.
ME 2.7.3
2. La asignación de responsabilidades para corrección (puede incluir la aceptación de los riesgos).
ME 2.7.4
3. El rastreo de los resultados de las acciones previstas.
133 de 152
Matriz de Calificación
NIVELES DE MADUREZ ME2
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC ME2 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
ME2 NM 1.1
La administración reconoce la necesidad de administrar y asegurar el control de TI de forma regular.
ME2 NM 1.2
La experiencia individual para evaluar la suficiencia del control interno se aplica de forma determinada (ad hoc)
ME2 NM 1.3
La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los controles internos.
ME2 NM 1.4
Las evaluaciones de control interno de TI se realizan como parte de las auditorías financieras tradicionales, con metodologías y habilidades que no reflejan las necesidades de la función de los servicios de información
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA ME2 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
ME2 NM 2.1
La organización utiliza reportes de control informales para comenzar iniciativas de acción correctiva
ME2 NM 2.2
La evaluación del control interno depende de las habilidades del personal clave.
ME2 NM 2.3
La organización tiene una mayor conciencia sobre el monitoreo de los controles internos.
ME2 NM 2.4
La gerencia de servicios de información realiza monitoreo periódico sobre la efectividad de lo que considera controles internos críticos.
ME2 NM 2.4
Se están empezando a usar metodologías y herramientas para monitorear los controles internos, aunque no se basan en un plan.
ME2 NM 2.5
Los factores de riesgo específicos del ambiente de TI se identifican con base en las habilidades del personal.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO ME2 NM 3
Nivel de Madurez 3 - Proceso definido Si
ME2
ME2 NM 3.1
La administración apoya y ha institucionalizado el monitoreo del control interno.
ME2 NM 3.2
Se han desarrollado políticas y procedimientos para evaluar y reportar las actividades de monitoreo de control interno.
ME2 NM 3.3
Se ha definido un programa de educación y entrenamiento para el monitoreo del control interno.
ME2 NM 3.4
Se han definido un proceso para auto - evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del negocio y de TI.
ME2 NM 3.5
Se usan herramientas, aunque no necesariamente están integradas en todos los procesos.
ME2 NM 3.6
Las políticas de evaluación de riesgos de los procesos de TI se utilizan dentro de los marcos de trabajo desarrollados de manera específica para la función de TI.
ME2 NM 3.7
Se han definido políticas para el manejo y mitigación de riesgos específicos de procesos.
No
Nivel Superior
134 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE ME2 NM 4
Nivel de Madurez 4 - Administrado y medible Si
ME2 NM 4.1
La administración tiene implementado un marco de trabajo para el monitoreo del control interno de TI.
ME2 NM 4.2
La organización ha establecido niveles de tolerancia para el proceso de monitoreo del control interno.
ME2 NM 4.3
Se han implementado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control
ME2 NM 4.4
Se ha establecido una función formal para el control interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta dirección.
ME2 NM 4.5
Un equipo calificado de TI participa de forma rutinaria en las evaluaciones de control interno.
ME2 NM 4.6
Se ha establecido una base de datos de métricas para información histórica sobre el monitoreo del control interno
ME2 NM 4.7
Se ha establecido revisiones por expertos para el monitoreo del control interno.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO ME2 NM 5
Nivel de Madurez 5 - Optimizado Si
ME2
ME2 NM 5.1
La administración ha implementado un programa de mejora continua en toda la organización que toma en cuenta las lecciones aprendidas y las mejores prácticas de la industria para monitorear el control interno.
ME2 NM 5.2
La organización utiliza herramientas integradas y actualizadas, donde es apropiado, que permiten una evaluación efectiva de los controles críticos de TI y una detección rápida del monitoreo de los incidentes de control de TI.
ME2 NM 5.3
El intercambio de conocimiento específico de la función de servicios de información, se encuentra implementada de manera formal.
ME2 NM 5.4
El benchmarking con los estándares de la industria y las mejores prácticas está formalizado.
No
135 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL ME3
Índice
ME 3 Asegurar el Cumplimiento Regulatorio
EVALUE CORRECTAMENTE EL ME 3.1 ME 3.1
Identificar las leyes y regulaciones con impacto potencial sobre TI
Referencias Si
No
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Está definido e implementado un proceso para garantizar la identificación oportuna de requerimientos: ME 3.1.1
1. Legales locales
ME 3.1.2
2. Legales Internacionales.
ME 3.1.3
3. Contractuales.
ME 3.1.4
4. De políticas.
ME 3.1.5
5. Regulatorios. El proceso para garantizar la identificación oportuna de requerimientos legales locales e internacionales, contractuales, de políticas y regulatorios está relacionados con:
ME 3.1.6
1. La información.
ME 3.1.7
2. La prestación de servicios de información – incluyendo servicios de terceros.
ME 3.1.8
3. La función, procesos e infraestructura de TI. El proceso toma en cuenta:
ME 3.1.9
1. Las leyes y reglamentos de comercio electrónico.
ME 3.1.10
2. El flujo de datos.
ME 3.1.11
3. La privacidad.
ME 3.1.12
4. Los controles internos.
ME 3.1.13
5. El reportes financieros.
ME 3.1.14
6. El reglamentos específicos de la industria.
ME 3.1.15
7. La propiedad intelectual.
ME 3.1.16
8. Los derechos de autor.
ME 3.1.17
9. La salud.
ME 3.1.18
10. La seguridad.
EVALUE CORRECTAMENTE EL ME 3.2 ME 3.2
Optimizar la respuesta a requerimientos regulatorios
Referencias Si
ME 3.2.1
No
No Aplica
Se revisa y optimiza para garantizar que los requisitos legales y regulatorios se cubran de forma eficiente: 1. Las políticas de TI. 2. Los estándares de TI. 3. Los procedimientos de TI.
ME3
136 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL ME 3.3 ME 3.3
Evaluación del cumplimiento con requerimientos regulatorios Si
ME 3.3.1
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
Se evalúa el cumplimiento de las políticas, estándares y procedimientos de TI, incluyendo los requerimientos legales y regulatorios, con base en la supervisión del gobierno de la gerencia de TI y del negocio y la operación de los controles internos
EVALUE CORRECTAMENTE EL ME 3.4 ME 3.4
Aseguramiento positivo del cumplimiento Si
ME 3.4.1
Se definen e implementan procedimientos para obtener un reporte del aseguramiento del cumplimiento y, donde sea necesario, que el propietario del proceso tome las acciones correctivas oportunas para resolver cualquier brecha de cumplimiento.
ME 3.4.2
Se integran los reportes de avance y estado del cumplimiento de TI con salidas similares provenientes de otras funciones de negocio.
No
No Aplica
EVALUE CORRECTAMENTE EL ME 3.5 ME 3.5
Reportes integrados Si
ME 3.5.1
ME3
No
No Aplica
Se integran los reportes de TI sobre cumplimiento regulatorio con las salidas similares provenientes de otras funciones del negocio.
137 de 152
Matriz de Calificación
NIVELES DE MADUREZ ME3
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC ME3 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
ME3 NM 1.1
Se tiene conciencia de los requisitos de cumplimiento regulatorio, contractual y legal que tienen impacto en la organización.
ME3 NM 1.2
Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA ME3 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
ME3 NM 2.1
Se tiene el entendimiento de la necesidad de cumplir con los requerimientos externos y la necesidad se comunica.
ME3 NM 2.2
En los casos en que el cumplimiento se ha convertido en un requerimiento recurrente, como en los reglamentos regulatorios o en la legislación de privacidad, se han desarrollado procedimientos individuales de cumplimiento y se siguen año con año.
ME3 NM 2.3
Se carece de un enfoque estándar.
ME3 NM 2.4
Se tiene mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles.
ME3 NM 2.5
Se brinda capacitación informal respecto a los requerimientos externos y a los temas de cumplimiento.
No
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO ME3 NM 3
Nivel de Madurez 3 - Proceso definido Si
ME3
ME3 NM 3.1
Se han desarrollado, documentado y comunicado políticas, procedimientos y procesos para garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales, pero algunas quizá no se sigan y algunas quizá estén desactualizadas o sean poco prácticas de implementar.
ME3 NM 3.2
Se realiza poco monitoreo y se tienen requisitos de cumplimiento que no han sido resueltos.
ME3 NM 3.3
Se brinda capacitación sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos.
ME3 NM 3.4
Se tienen contratos pro forma y procesos legales estándar para minimizar los riesgos asociados con las obligaciones contractuales.
No
Nivel Superior
138 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE ME3 NM 4
Nivel de Madurez 4 - Administrado y medible Si
ME3 NM 4.1
Se tiene un entendimiento completo de los eventos y de la exposición a requerimientos externos, y la necesidad de asegurar el cumplimiento a todos los niveles.
ME3 NM 4.2
Se tiene un esquema formal de capacitación que asegura que todo el equipo esté consciente de sus obligaciones de cumplimiento.
ME3 NM 4.3
Las responsabilidades son claras y se entiende el empoderamiento de los procesos.
ME3 NM 4.4
El proceso incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes.
ME3 NM 4.5
Se dispone de un mecanismo implementado para monitorear el no cumplimiento de los requisitos externos, reforzar las prácticas internas e implementar acciones correctivas.
ME3 NM 4.6
Los eventos de no cumplimiento se analizan de forma estándar en busca de las causas raíz, con el objetivo de identificar soluciones sostenibles.
ME3 NM 4.7
Buenas prácticas internas estandarizadas se usan para necesidades específicas tales como reglamentos vigentes y contratos recurrentes de servicio.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO ME3 NM 5
Nivel de Madurez 5 - Optimizado Si
ME3
ME3 NM 5.1
Se dispone de un proceso bien organizado, eficiente e implementado para cumplir con los requerimientos externos, basado en una sola función central que brinda orientación y coordinación a toda la organización.
ME3 NM 5.2
Se tiene un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, así como la necesidad de nuevas soluciones.
ME3 NM 5.3
La organización participa en discusiones externas con grupos regulatorios y de la industria para entender e influenciar los requerimientos externos que la puedan afectar.
ME3 NM 5.4
Se han desarrollado mejores prácticas que aseguran el cumplimiento de los requisitos externos, y esto ocasiona que se tengan muy pocos casos de excepciones de cumplimiento.
ME3 NM 5.5
Se tiene un sistema central de rastreo para toda la organización, que permite a la administración documentar el flujo de trabajo, medir y mejorar la calidad y efectividad del proceso de monitoreo del cumplimiento.
ME3 NM 5.6
Se tiene un proceso externo de auto-evaluación de requerimientos y se ha refinado hasta alcanzar el nivel de buena práctica.
ME3 NM 5.7
El estilo y la cultura administrativa de la organización referente al cumplimiento es suficientemente fuerte, y se elaboran los procesos suficientemente bien para que la capacitación se limite al nuevo personal y siempre que ocurra un cambio significativo.
No
139 de 152
Matriz de Calificación
OBJETIVOS DE CONTROL ME4
Índice
ME 4 Proveer Gobierno de TI
EVALUE CORRECTAMENTE EL ME 4.1 ME 4.1
Establecer un marco de trabajo de gobierno para TI Si
ME 4.1.1
Se trabaja con el consejo directivo para definir y establecer un marco de trabajo para el gobierno de TI.
ME 4.1.2
El marco de trabajo incluye el liderazgo, los procesos, roles y responsabilidades, los requerimientos de información, y las estructuras organizacionales para garantizar que los programas de inversión habilitados por TI de la empresa ofrezcan y estén alineados con las estrategias y objetivos empresariales.
ME 4.1.3
El marco de trabajo proporciona vínculos claros entre la estrategia empresarial, el portafolio de programas de inversiones habilitadas por TI que ejecutan la estrategia, los programas de inversión individual y los proyectos de negocio y de TI que forman los programas.
ME 4.1.4
El marco de trabajo tiene definido una rendición de cuentas claras y prácticas para evitar fallas de control interno y de supervisión.
ME 4.1.5
El marco de trabajo es consistente con el ambiente completo de control empresarial y con los principios de control generalmente aceptados y está basado en el proceso y en el marco de control de TI.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL ME 4.2 ME 4.2
Alineamiento estratégico Si
ME4
ME 4.2.1
Se facilita el entendimiento del consejo directivo y de los ejecutivos sobre temas estratégicos de TI tales como el rol de TI, características propias y capacidades de la tecnología.
ME 4.2.2
Se garantiza el entendimiento compartido entre el negocio y la función de TI sobre la contribución potencial de TI a la estrategia del negocio.
ME 4.2.3
Se tiene un entendimiento claro de que el valor de TI sólo se obtiene cuando las inversiones habilitadas con TI se administran como un portafolio de programas que incluyen el alcance completo de los cambios que el negocio debe realizar para optimizar el valor proveniente de las capacidades que tiene TI para lograr la estrategia
ME 4.2.4
Se trabaja con el consejo directivo para definir e implementar organismos de gobierno, tales como un comité estratégico de TI.
ME 4.2.5
El comité estratégico de TI brinda una orientación estratégica a la administración respecto a TI.
ME 4.2.6
El comité estratégico de TI, garantiza que tanto la estrategia como los objetivos se distribuyan en cascada hacia las unidades de negocio y hacia las unidades de TI y que se desarrolle certidumbre y confianza entre el negocio y TI.
ME 4.2.7
El comité estratégico de TI, facilita la alineación de TI con el negocio en lo referente a estrategia y operaciones, fomentando la co-responsabilidad entre el negocio y TI en la toma de decisiones estratégicas y en la obtención de los beneficios provenientes de las inversiones habilitadas con TI
No
No Aplica
140 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL ME 4.3 ME 4.3
Entrega de valor Si
ME 4.3.1
Se administra los programas de inversión habilitados con TI, así como otros activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para apoyar la estrategia y los objetivos empresariales.
ME 4.3.2
Se asegura de que los resultados de negocio esperados de las inversiones habilitadas por TI y el alcance completo del esfuerzo requerido para lograr esos resultados estén claros.
ME 4.3.3
Se generan casos de negocio integrales y consistentes, y que los aprueben los interesados.
ME 4.3.4
Los activos y las inversiones se administran a lo largo del ciclo de vida económico
ME 4.3.5
Se lleva a cabo una administración activa del logro de los beneficios, tales como la contribución a nuevos servicios, ganancias de eficiencia y un mejor grado de reacción a los requerimientos de los clientes.
ME 4.3.6
Se implementa un enfoque disciplinado hacia la administración por portafolio, programa y proyecto, enfatizando que el negocio asume la propiedad de todas las inversiones habilitadas con TI y que TI garantiza la optimización de los costos por la prestación de los servicios y capacidades de TI.
ME 4.3.7
Se asegurar que las inversiones en tecnología estén estandarizadas a mayor grado posible para evitar el aumento en costo y complejidad de una proliferación de soluciones técnicas.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL ME 4.4 ME 4.4
Administración de recursos Si
ME 4.4.1
Se optimiza la inversión, uso y asignación de los activos de TI por medio de evaluaciones periódicas, garantizando que TI cuente con recursos suficientes, competentes y capaces para ejecutar los objetivos estratégicos actuales y futuros y seguir el ritmo de los requerimientos del negocio
ME 4.4.2
La dirección implementa políticas claras, consistentes y reforzadas sobre recursos humanos y políticas de sustitución para garantizar que se satisfagan los requerimientos de recursos de manera efectiva y para adaptarse a las políticas y estándares de la arquitectura.
ME 4.4.3
La infraestructura de TI se evalúa periódicamente para asegurar que esté estandarizada siempre que sea posible y que exista la interoperabilidad según sea requiera.
No
No Aplica
EVALUE CORRECTAMENTE EL ME 4.5 ME 4.5
Administración de riesgos Si
ME4
ME 4.5.1
Se trabaja en conjunto con el consejo directivo para definir el apetito de riesgo de TI aceptable por la empresa.
ME 4.5.2
Se comunica el apetito de riesgo de TI hacia la organización y acuerda el plan de administración de riesgos de TI.
ME 4.5.3
Se Integra las responsabilidades de administración de riesgos en la organización, asegurando que tanto el negocio como TI evalúen y reporten periódicamente los riesgos asociados con TI y su impacto en el negocio.
ME 4.5.4
Se garantiza que la gerencia de TI realice un seguimiento a la exposición a los riesgos, poniendo especial atención en las fallas y debilidades de control interno y de supervisión, así como su impacto actual y potencial en el negocio
ME 4.5.5
La posición del riesgo empresarial en TI es transparente para todos los interesados.
No
No Aplica
141 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL ME 4.6 ME 4.6
Medición del desempeño Si
ME 4.6.1
Se Informa el desempeño relevante del portafolio de los programas de TI al consejo directivo y a los ejecutivos de manera oportuna y precisa.
ME 4.6.2
Los informes administrativos que se entregan a la alta dirección para su revisión incluye el avance de la empresa hacia metas identificadas.
ME 4.6.3
Los reportes de estado incluye el grado al cual se han logrado los objetivos planeados, entregables obtenidos, metas de desempeño alcanzadas y los riesgos mitigados.
ME 4.6.4
Se integra los informes con salidas similares de otras funciones del negocio.
ME 4.6.5
Las mediciones de desempeño son aprobadas por los interesados clave.
ME 4.6.6
El consejo directivo y los ejecutivos cuestionan los informes de desempeño y la gerencia de TI tiene la oportunidad de explicar las desviaciones y los problemas de desempeño
ME 4.6.7
Después de la revisión se inician y controlan las acciones administrativas apropiadas.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
No Aplica
EVALUE CORRECTAMENTE EL ME 4.7 ME 4.7
Aseguramiento independiente Si
ME 4.7.1
ME4
No
No Aplica
Se asegura que la organización establece y mantiene una función que es competente y con el personal adecuado y/o busque servicios de aseguramiento externos, para proveer oportunamente a la junta directiva con un aseguramiento independiente acerca del cumplimiento de TI con sus políticas, estándares y procedimientos, así como con las prácticas generalmente aceptadas
142 de 152
Matriz de Calificación
NIVELES DE MADUREZ ME4
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 1 - INICIAL / AD HOC ME4 NM 1
Nivel de Madurez 1 - Inicial / Ad Hoc Si
ME4 NM 1.1
Se reconoce la existencia del tema de gobierno de TI y que debe ser resuelto.
ME4 NM 1.2
Se tienen enfoques de forma determinada (ad hoc) aplicados individualmente o caso por caso.
ME4 NM 1.3
El enfoque de la administración es reactivo y solamente se tiene una comunicación esporádica e inconsistente sobre los temas y los enfoques para resolverlos.
ME4 NM 1.4
La administración solo cuenta con una indicación aproximada de cómo TI contribuye al desempeño del negocio.
ME4 NM 1.5
La administración solo responde de forma reactiva a los incidentes que han causado pérdidas o vergüenza a la organización.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 2 - REPETIBLE PERO INTUITIVA ME4 NM 2
Nivel de Madurez 2 - Repetible pero intuitiva Si
ME4
ME4 NM 2.1
Se cuenta con una conciencia sobre los temas de gobierno de TI.
ME4 NM 2.2
Las actividades y los indicadores de desempeño del gobierno de TI, los cuales incluyen procesos planeación, entrega y supervisión de TI, están en desarrollo.
ME4 NM 2.3
Los procesos de TI seleccionados se identifican para ser mejorados con base en decisiones individuales.
ME4 NM 2.4
La administración ha identificado mediciones básicas para el gobierno de TI; así como métodos de evaluación y técnicas; sin embargo el proceso no ha sido adoptado a lo largo de la organización
ME4 NM 2.5
La comunicación respecto a los estándares y responsabilidades de gobierno de TI se deja a los individuos
ME4 NM 2.6
Los individuos impulsan los procesos de gobierno de TI en varios proyectos y procesos de TI.
ME4 NM 2.7
Los procesos, herramientas y métricas para medir el gobierno de TI están limitadas y pueden no usarse a toda su capacidad debido a la falta de experiencia en su funcionalidad.
No
Nivel Superior
143 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 3 - PROCESO DEFINIDO ME4 NM 3
Nivel de Madurez 3 - Proceso definido Si
ME4 NM 3.1
La importancia y la necesidad de un gobierno de TI se reconocen por parte de la administración y se comunican a la organización.
ME4 NM 3.2
Un conjunto de indicadores base de gobierno de TI se elaboran donde se definen y documentan los vínculos entre las mediciones de resultados y los impulsores del desempeño.
ME4 NM 3.3
Los procedimientos se han estandarizado y documentado.
ME4 NM 3.4
La administración ha comunicado los procedimientos estandarizados y la capacitación está establecida.
ME4 NM 3.5
Se han identificado herramientas para apoyar a la supervisión del gobierno de TI.
ME4 NM 3.6
Se han definido tableros de control como parte de los balance Scorecard de TI
ME4 NM 3.7
Se delega al individuo su capacitación, el seguimiento de los estándares y su aplicación.
ME4 NM 3.8
Puede ser que se monitoreen los procesos sin embargo la mayoría de desviaciones, se resuelven con iniciativa individual y es poco probable que se detecten por parte de la administración.
No
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Referencias
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Nivel Superior
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 4 - ADMINISTRADO Y MEDIBLE ME4 NM 4
Nivel de Madurez 4 - Administrado y medible Si
ME4
ME4 NM 4.1
Se tiene un entendimiento completo de los temas de gobierno de TI a todos los niveles.
ME4 NM 4.2
Se tiene un entendimiento claro de quién es el cliente y se definen y supervisan las responsabilidades por medio de acuerdos de niveles de servicio.
ME4 NM 4.3
Las responsabilidades son claras y la propiedad de los procesos está establecida.
ME4 NM 4.4
Los procesos de TI y el gobierno de TI están alineados e integrados con la estrategia corporativa de TI.
ME4 NM 4.5
La mejora de los procesos de TI se basa principalmente en un entendimiento cuantitativo y es posible monitorear y medir el cumplimiento con procedimientos y métricas de procesos
ME4 NM 4.6
Todos los interesados en los procesos están conscientes de los riesgos, de la importancia de TI, y de las oportunidades que ésta puede ofrecer.
ME4 NM 4.7
La administración ha definido niveles de tolerancia bajo los cuales los procesos pueden operar.
ME4 NM 4.8
Se tiene un uso limitado, principalmente táctico, de la tecnología con base en técnicas maduras y herramientas estándar ya implementadas.
ME4 NM 4.9
El gobierno de TI ha sido integrado a los procesos de planeación estratégica y operativa, así como a los procesos de monitoreo.
ME4 NM 4.10
Los indicadores de desempeño de todas las actividades de gobierno de TI se registran y rastrean, lo que mejora el nivel de toda la empresa.
ME4 NM 4.11
La rendición general de cuentas del desempeño de los procesos clave es clara, y la administración recibe recompensas con base en las mediciones clave de desempeño.
No
Nivel Superior
144 de 152
Matriz de Calificación
EVALUE CORRECTAMENTE EL NIVEL DE MADUREZ 5 - OPTIMIZADO ME4 NM 5
Nivel de Madurez 5 - Optimizado
Referencias Si
ME4
ME4 NM 5.1
Se tiene un entendimiento avanzado y a futuro de los temas y soluciones del gobierno de TI.
ME4 NM 5.2
La capacitación y la comunicación se basan en conceptos y técnicas de vanguardia.
ME4 NM 5.3
Los procesos se han refinado hasta un nivel de mejor práctica de la industria, con base en los resultados de las mejoras continuas y en el modelo de madurez con respecto a otras organizaciones.
ME4 NM 5.4
La implementación de las políticas de TI ha resultado en una organización, personas y procesos que se adaptan rápidamente, y que dan soporte completo a los requisitos de gobierno de TI.
ME4 NM 5.5
Todos los problemas y desviaciones se analizan por medio de la técnica de causa raíz y se identifican e implementan medidas eficientes de forma rápida.
ME4 NM 5.6
TI se utiliza de forma amplia, integrada y optimizada para automatizar el flujo de trabajo y brindar herramientas para mejorar la calidad y efectividad.
ME4 NM 5.7
Los riesgos y los retornos de los procesos de TI están definidos, balanceados y comunicados en toda la empresa.
ME4 NM 5.8
Se aprovechan a los expertos externos y se usan evaluaciones por comparación para orientarse
ME4 NM 5.9
El monitoreo, la auto-evaluación y la comunicación respecto a las expectativas de gobierno están en toda la organización y se da un uso óptimo a la tecnología para apoyar las mediciones, el análisis, la comunicación y el capacitación
ME4 NM 5.10
El gobierno empresarial y el gobierno de TI están vinculados de forma estratégica, aprovechando la tecnología y los recursos humanos y financieros para mejorar la ventaja competitiva de la empresa.
ME4 NM 5.11
Las actividades de gobierno de TI están integradas al proceso de gobierno empresarial
No
145 de 152
Técnicas de Auditoría
Pruebas de Cumplimiento
Pruebas sustantivas
Observaciones y Conclusiones
Matriz de Calificación Estado de Calificación
Estado de la Calificación
Índice
REQ. Si
No
Si
No
Si
PROCESOS COBIT PO 1 Definir un Plan Estratégico de TI PO 1.1 Administración del valor de TI PO 1.2 Alineación de TI con el negocio PO 1.3 Evaluación del desempeño actual PO 1.4 Plan estratégico de TI PO 1.5 Planes tácticos de TI PO 1.6 Administración del portafolio de TI Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado PO 2 Definir la Arquitectura de la Información PO 2.1 Modelo de arquitectura de información empresarial PO 2.2 Diccionario de datos empresarial y reglas de sintaxis de los datos PO 2.3 Esquema de clasificación de datos PO 2.4 Administración de la integridad Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado PO 3 Determinar la Dirección Tecnológica PO 3.1 Planeación de la dirección tecnológica PO 3.2 Plan de infraestructura tecnológica PO 3.3 Monitoreo de tendencias y regulaciones futuras PO 3.4 Estándares tecnológicos PO 3.5 Consejo de arquitectura. Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado PO 4 Definir los procesos, la Organización y las Relaciones de TI PO 4.1 Marco de trabajo del proceso PO 4.2 Comité estratégico PO 4.3 Comité directivo (Steering Committee) PO 4.4 Ubicación organizacional de la función de TI PO 4.5 Estructura organizacional PO 4.6 Roles y responsabilidades PO 4.7 Responsabilidad de aseguramiento de calidad de TI PO 4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento PO 4.9 Propiedad de datos y de sistemas PO 4.10 Supervisión PO 4.11 Segregación de funciones PO 4.12 Personal de TI PO 4.13 Personal clave de TI PO 4.14 Políticas y procedimientos para personal contratado PO 4.15 Relaciones Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado PO 5 Administrar la Inversión en TI
Estado de Calificación
146 de 152
ESTADO DE LA EVALUACIÓN PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar PENDIENTE DE EVALUAR
Matriz de Calificación Estado de Calificación
REQ.
No
No
No
Si
Si
PROCESOS COBIT PO 5.1 Marco de trabajo para la administración financiera PO 5.2 Prioridades dentro del presupuesto de TI PO 5.3 Proceso presupuestario de TI PO 5.4 Administración de costos PO 5.5 Administración de beneficios Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado PO 6 Comunicar los Objetivos y Dirección de la Gerencia PO 6.1 Ambiente de políticas y de control PO 6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO 6.3 Administración de políticas para TI PO 6.4 Política de Implantación PO 6.5 Comunicación de los objetivos y la dirección de TI Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado PO 7 Administrar los Recursos Humanos de TI PO 7.1 Reclutamiento y retención del personal PO 7.2 Competencias del personal PO 7.3 Asignación de roles PO 7.4 Entrenamiento del personal de TI PO 7.5 Dependencia sobre los individuos PO 7.6 Procedimientos de investigación del personal PO 7.7 Evaluación del desempeño del empleado PO 7.8 Cambios y finalización del contrato de trabajo Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado PO 8 Administrar la Calidad PO 8.1 Sistema de administración de calidad (QMS) PO 8.2 Estándares y prácticas de calidad PO 8.3 Estándares de desarrollo y de adquisición PO 8.4 Enfoque al cliente PO 8.5 Mejora continua PO 8.6 Medición, monitoreo y revisión de la calidad Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado PO 9 Evaluar y Administrar los Riesgos de TI PO 9.1 Alineación de la administración de riesgos de TI y del negocio PO 9.2 Establecimiento del contexto del riesgo PO 9.3 Identificación de eventos PO 9.4 Evaluación de riesgos PO 9.5 Respuesta a los riesgos PO 9.6 Mantenimiento y monitoreo de un plan de acción de riesgos Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado PO 10 Administrar Proyectos PO 10.1 Marco de trabajo para la administración de programas PO 10.2 Marco de trabajo para la administración de proyectos
Estado de Calificación
147 de 152
ESTADO DE LA EVALUACIÓN Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar
Matriz de Calificación Estado de Calificación
REQ.
No
No
Si
No
PROCESOS COBIT PO 10.3 Enfoque de administración de proyectos PO 10.4 Compromiso de los interesados PO 10.5 Estatuto de alcance del proyecto PO 10.6 Inicio de las fases del proyecto PO 10.7 Plan integrado del proyecto PO 10.8 Recursos del proyecto PO 10.9 Administración de riesgos del proyecto PO 10.10 Plan de calidad del proyecto PO 10.11 Control de cambios del proyecto PO 10.12 Planeación del proyecto y métodos de aseguramiento PO 10.13 Medición del desempeño, reporte y monitoreo del proyecto PO 10.14 Cierre del proyecto Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado AI 1 Identificar Soluciones Automatizadas AI 1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio. AI 1.2 Reporte de análisis de riesgos AI 1.3 Estudios de factibilidad y formulación de rutas alternativas de acción AI 1.4 Requerimientos, decisión de factibilidad y aprobación. Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado AI 2 Adquirir y Mantener Software de Aplicación AI 2.1 Diseño de alto nivel AI 2.2 Diseño detallado AI 2.3 Control y auditabilidad de las aplicaciones AI 2.4 Seguridad y disponibilidad de las aplicaciones AI 2.5 Configuración e implementación de software de aplicación adquirido AI 2.6 Actualizaciones importantes en sistemas existentes AI 2.7 Desarrollo de software aplicativo AI 2.8 Aseguramiento de la Calidad del Software AI 2.9 Administración de los requerimientos de aplicaciones AI 2.10 Mantenimiento de software aplicativo Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado AI 3 Adquirir y Mantener Infraestructura Tecnológica AI 3.1 Plan de adquisición de infraestructura tecnológica AI 3.2 Protección y disponibilidad del recursos de infraestructura AI 3.3 Mantenimiento de la infraestructura AI 3.4 Factibilidad del ambiente. Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado AI 4 Habilitar la Operación y el Uso AI 4.1 Planificación de soluciones operativas. AI 4.2 Transferencia de conocimiento a la administración del negocio AI 4.3 Transferencia de conocimiento a usuarios finales AI 4.4 Transferencia de conocimiento al personal de operaciones y soporte. Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible
Estado de Calificación
148 de 152
ESTADO DE LA EVALUACIÓN Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar
Matriz de Calificación Estado de Calificación
REQ. Si
Si
No
No
Si
PROCESOS COBIT Nivel de Madurez 5 - Optimizado AI 5 Adquirir Recursos de TI AI 5.1 Control de adquisición AI 5.2 Administración de contratos con proveedores AI 5.3 Selección de proveedores AI 5.4 Adquisición de software AI 5.5 Adquisición de recursos de desarrollo AI 5.6 Adquisición de infraestructura, instalaciones y servicios relacionados Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado AI 6 Administrar Cambios AI 6.1 Estándares y procedimientos para cambios AI 6.2 Evaluación de impacto, priorización y autorización AI 6.3 Cambios de emergencia AI 6.4 Seguimiento y reporte del estado del cambio AI 6.5 Cierre y documentación del cambio Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado AI 7 Instalar y Acreditar Soluciones y Cambios AI 7.1 Entrenamiento AI 7.2 Plan de prueba AI 7.3 Plan de implementación AI 7.4 Ambiente de prueba AI 7.5 Conversión de sistema y datos AI 7.6 Prueba de cambios AI 7.7 Prueba final de aceptación AI 7.8 Transferencia a producción AI 7.9 Liberación de software AI 7.10 Distribución del sistema AI 7.11 Registro y rastreo de cambios AI 7.12 Revisión posterior a la implementación Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 1 Definir y Administrar los Niveles de Servicio DS 1.1 Marco de trabajo para administrar los niveles de servicio DS 1.2 Definición de servicios DS 1.3 Acuerdos de niveles de servicio (SLA's) DS 1.4 Acuerdos de niveles de operación (OLA's) DS 1.5 Monitoreo y reporte de logros de los niveles de servicio DS 1.6 Revisión de los acuerdos de niveles de servicio y de los contratos Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 2 Administrar los Servicios de Terceros DS 2.1 Identificación de las relaciones con todos los proveedores DS 2.2 Administración de las relaciones con los proveedores DS 2.3 Administración de riesgos del proveedor DS 2.4 Monitoreo del desempeño del proveedor Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido
Estado de Calificación
149 de 152
ESTADO DE LA EVALUACIÓN No Evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar
Matriz de Calificación Estado de Calificación
REQ.
Si
Si
Si
No
No
PROCESOS COBIT Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 3 Administrar el Desempeño y la Capacidad DS 3.1 Planeación del desempeño y la capacidad DS 3.2 Capacidad y desempeño actual DS 3.3 Capacidad y desempeño futuros DS 3.4 Disponibilidad de los recursos de TI DS 3.5 Monitoreo y reporte Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 4 Garantizar la Continuidad del Servicio DS 4.1 Marco de continuidad de TI DS 4.2 Planes de continuidad de TI DS 4.3 Recursos críticos de TI DS 4.4 Mantenimiento del plan de continuidad de TI DS 4.5 Prueba del plan de continuidad de TI DS 4.6 Entrenamiento del plan de continuidad de TI DS 4.7 Distribución del plan de continuidad de TI DS 4.8 Recuperación y reanudación de los servicios de TI DS 4.9 Almacenamiento del respaldo fuera de las instalaciones DS 4.10 Revisión post-reanudación Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 5 Garantizar la Seguridad de los Sistemas DS 5.1 Administración de la seguridad de TI DS 5.2 Plan de seguridad de TI DS 5.3 Administración de identidad DS 5.4 Administración de cuentas de usuario DS 5.5 Pruebas, vigilancia y monitoreo de la seguridad DS 5.6 Definición de incidentes de seguridad DS 5.7 Protección de la tecnología de seguridad DS 5.8 Administración de llaves criptográficas DS 5.9 Prevención, detección y corrección de software malicioso DS 5.10 Seguridad de la red DS 5.11 Intercambio de datos sensitivos Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 6 Identificar y Asignar Costos DS 6.1 Definición de servicios DS 6.2 Contabilización de TI DS 6.3 Modelación de costos y cargos DS 6.4 Mantenimiento del modelo de costos Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 7 Educar y Capacitar a los Usuarios DS 7.1 Identificación de necesidades de capacitación y educación DS 7.2 Entrega de capacitación y educación DS 7.3 Evaluación de la capacitación recibida Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva
Estado de Calificación
150 de 152
ESTADO DE LA EVALUACIÓN Pendiente de evaluar Pendiente de evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar
Matriz de Calificación Estado de Calificación
REQ.
No
Si
Si
Si
Si
No
PROCESOS COBIT Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 8 Administrar el Escritorio de Servicio y los Incidentes DS 8.1 Mesa de Servicios DS 8.2 Registro de consultas de clientes DS 8.3 Escalamiento de incidentes DS 8.4 Cierre de incidentes DS 8.5 Análisis de tendencia Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 9 Administrar la Configuración DS 9.1 Repositorio de configuración y línea base DS 9.2 Identificación y mantenimiento de elementos de configuración DS 9.3 Revisión de integridad de la configuración Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 10 Administración de Problemas DS 10.1 Identificación y clasificación de problemas DS 10.2 Rastreo y resolución de problemas DS 10.3 Cierre de problemas DS 10.4 Integración de las administraciones de cambios, configuración y problemas Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 11 Administración de Datos DS 11.1 Requerimientos del negocio para administración de datos DS 11.2 Acuerdos de almacenamiento y conservación DS 11.3 Sistema de administración de librerías de medios DS 11.4 Eliminación DS 11.5 Respaldo y restauración DS 11.6 Requerimientos de seguridad para la administración de datos Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 12 Administración del Ambiente Físico DS 12.1 Selección y diseño del centro de datos DS 12.2 Medidas de seguridad física DS 12.3 Acceso físico DS 12.4 Protección contra factores ambientales DS 12.5 Administración de instalaciones físicas Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado DS 13 Administración de Operaciones DS 13.1 Procedimientos e instrucciones de operación DS 13.2 Programación de tareas DS 13.3 Monitoreo de la infraestructura de TI DS 13.4 Documentos sensitivos y dispositivos de salida DS 13.5 Mantenimiento preventivo del hardware
Estado de Calificación
151 de 152
ESTADO DE LA EVALUACIÓN No Evaluar No Evaluar No Evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar
Matriz de Calificación Estado de Calificación
REQ.
No
Si
No
No
PROCESOS COBIT Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado ME 1 Monitorear y Evaluar el Desempeño de TI ME 1.1 Enfoque de monitoreo ME 1.2 Definición y recolección de datos de monitoreo ME 1.3 Método de monitoreo ME 1.4 Evaluación del desempeño ME 1.5 Reportes al consejo directivo y a ejecutivos ME 1.6 Acciones correctivas Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado ME 2 Monitorear y Evaluar el Control Interno ME 2.1 Monitorear el marco de trabajo de control interno ME 2.2 Revisiones de auditoría ME 2.3 Excepciones de control ME 2.4 Auto-evaluación de control ME 2.5 Aseguramiento del control interno ME 2.6 Control interno para terceros ME 2.7 Acciones correctivas Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado ME 3 Asegurar el Cumplimiento Regulatorio ME 3.1 Identificar las leyes y regulaciones con impacto potencial sobre TI ME 3.2 Optimizar la respuesta a requerimientos regulatorios ME 3.3 Evaluación del cumplimiento con requerimientos regulatorios ME 3.4 Aseguramiento positivo del cumplimiento ME 3.5 Reportes integrados Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado ME 4 Proveer Gobierno de TI ME 4.1 Establecer un marco de trabajo de gobierno para TI ME 4.2 Alineamiento estratégico ME 4.3 Entrega de valor ME 4.4 Administración de recursos ME 4.5 Administración de riesgos ME 4.6 Medición del desempeño ME 4.7 Aseguramiento independiente Nivel de Madurez 1 - Inicial / Ad Hoc Nivel de Madurez 2 - Repetible pero intuitiva Nivel de Madurez 3 - Proceso definido Nivel de Madurez 4 - Administrado y medible Nivel de Madurez 5 - Optimizado
Estado de Calificación
152 de 152
ESTADO DE LA EVALUACIÓN No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar PENDIENTE DE EVALUAR Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar Pendiente de evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar NO EVALUAR No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar No Evaluar