Trabajo Final COBIT

Ao del Buen Servicio al Ciudadano
Portada
UNIVERSIDAD CIENTFICA DEL
PER
FACULTAD DE CIENCIAS E INGENIERA
Carrera Profesional de Ingeniera de Sistemas de
Informacin
Temas:
Auditoria de la Gestin de TI de la empresa
Software Y Sistemas del Per con el modelo
COBIT 4.1.
Elaborado por:
Andrade Vela, Oscar.
Jara Palacios, Erick.
Mndez Valeriano, Cristian.
Morales Ros, ngel
Napuchi Villacorta, Bruce
Docente
Ing. Carlos Gonzales
Curso
Auditoria de TI.
San Juan Iquitos Per

2017
1
I. Gua de Auditora a seguir
COBIT propone un marco de accin donde se evalan los criterios de
informacin, como por ejemplo la seguridad y calidad, se auditan los
recursos que comprenden la tecnologa de informacin, como por
ejemplo el recurso humano, instalaciones, sistemas, entre otros, y
finalmente se realiza una evaluacin sobre los procesos involucrados
en la empresa, siendo buena alternativa el momento de decidir
gestionar tales recursos estableciendo un modelo de procesos
genricos que normalmente se encuentran en las funciones TICS,
siendo un modelo de referencia comn entendible para los gerentes
operacionales de las TICS y del negocio.
Mediante la realizacin de una Auditora se evala la eficiencia y

eficacia de las TICS dentro del departamento de Sistemas de la
Empresa Software y Sistemas del Per, analizando la funcin que
tienen las TICS dentro de la empresa y su aportacin al cumplimiento
de los objetivos del negocio, dando las respectivas sugerencias y
recomendaciones para mejorar el nivel de apoyo al cumplimiento de
los objetivos, permitiendo mejorar la productividad y desempeo
dentro de la empresa.
Por lo tanto, conforme lo establece el marco de referencia de COBIT,

se ha determinado realizar la auditora tomando en consideracin las
siguientes fases:
Fase 1.- Anlisis de la Situacin Actual del Departamento de

Sistemas
En esta fase se realizar una recopilacin de la informacin del

Departamento de Sistemas que permita generar un documento de
anlisis situacional del rea de Sistemas y las TICS relacionadas. Para
ello previa la autorizacin respectiva por parte de la Gerencia, se ha
solicitado la siguiente informacin: el orgnico funcional del
departamento de sistemas, informacin del rea de las TICS en
general que incluya una descripcin detallada del hardware, software,
tipos de seguridades, topologa de la red general y departamental, as
misma informacin acerca de la carga y rendimiento de los equipos
que prestan servicio en el departamento.
Esta informacin recopilada, una vez que sea analizada permitir

establecer la situacin en la que se encuentra el Departamento de
Sistemas, que se constituir en la base o razn de ser de la
realizacin de la auditora de las TICS de la empresa y se podr
observar adems posibles problemas a presentarse dentro del
departamento de sistemas.
Fase 2.- Realizacin de la Auditora
1
En esta fase de realizacin de la auditora se evaluarn cada uno de
los 34 procesos de los 4 dominios propuestos por COBIT,
estableciendo el grado de madurez de los procesos Organizacionales
de Software y Sistemas del Per.
Se proceder a realizar encuestas a un equipo multidisciplinario y de

alto nivel Gerencial, Directivo y Operativo seleccionado por la
empresa de acuerdo a su experiencia, conocimiento de rea,
direccin, etc. Dicho equipo est integrado por el Gerente General,
Jefe del Departamento de Sistemas, Personal del Departamento de
Sistemas y responsable auditor siendo la responsable de la
evaluacin.
Estas encuestas permitirn determinar el grado de madurez de cada

uno de los procesos una vez que se realice la tabulacin de los
resultados emitidos por los involucrados para los 34 procesos
propuestos por COBIT para Gestionar las TICS en una empresa,
proporcionando un sistema de control adecuado para el ambiente de
tecnologa de informacin. Paralelamente se realizarn las
observaciones en donde se detalla el motivo por el cual se encuentra
el proceso en determinado grado de madurez tomando en cuenta los
objetivos de control, recomendaciones, requisitos establecidos por
COBIT para cada uno de los niveles de madurez. A continuacin, se
proceder a realizar las respectivas recomendaciones que tomarn en
consideracin los objetivos de control de cada proceso y el modelo de
madurez propuesto por COBIT, cuyo objetivo es ir creciendo,
madurando, aumento, subiendo de nivel, es decir, mejorando sus
procesos de forma continua.
Por esto se emitirn las recomendaciones para el ascenso de los

niveles de madurez de cada uno de los procesos a corto y largo plazo,
tomando como referencia las sugerencias de la gua de auditora de
COBIT. Posteriormente se utilizar una tabla de resumen de objetivos
de control propuesto por COBIT. Esta tabla proporciona una indicacin
de los procesos, dominio de TI y los resultados que se han obtenido
en los modelos de madurez, para as poder realizar el anlisis de los
resultados, por dominio, para lo cual se proceder a analizar el nivel
que posea una cantidad mayor de procesos diferentes a cero.
Fase 3.- Informe preliminar

El Informe Preliminar contiene informacin acerca de la ejecucin de
la auditora, especificando en el mismo los siguientes puntos:
objetivos, alcance propuesto para la realizacin de la misma,
Metodologa aplicada para la auditora COBIT y el respectivo grado de
madurez de los 34 procesos contemplados en el modelo, las
conclusiones, y recomendaciones para cada uno de los procesos. En
base a los resultados obtenidos, y luego de realizar la tabulacin de
las entrevistas al Auditor, este informe ser expuesto al Auditor, para
2
las respectivas observaciones que sern consideradas, para la
elaboracin del informe final.
Fase 4.- Informes finales

El informe preliminar una vez que ha sido sometido a consideracin
del Auditor, se convierte en el informe tcnico, el cual est orientado
al Jefe del Departamento de Sistemas. Adems, se contempla en esta
fase el informe ejecutivo que est orientado a la Gerencia General de
la empresa, cuyo objetivo es el presentar un abstracto general de
todo el proceso de evaluacin.
II. Uso de las guas de auditora del modelo

COBIT para la ejecucin de la auditora en la
empresa Software y Sistemas del Per
PLANEAR Y ORGANIZAR (PO)
- PO1 Definir el plan estratgico de TI.

- PO2 Definir la arquitectura de la informacin.
- PO3 Definir la direccin tecnolgica.
- PO4 Definir procesos, organizacin y relaciones de TI.
- PO5 Administrar la inversin en TI.
- PO6 Comunicar las aspiraciones y la direccin de la gerencia.
- PO7 Administrar recursos humanos de TI.
3
- PO8 Administrar calidad.
- PO9 Evaluar y administrar riesgos de TI.
- PO10 Administrar proyectos.
1.- PO1 DEFINIR EL PLAN ESTRATGICO DE TI:

DOMINIO: PLANEACIN Y ORGANIZACIN
PO1: Definicin de un Plan Estratgico de Tecnologa de Informacin
e Parcialment
No cumple
Cumple
Niveles de los modelos madurez Observaciones
No se realiza una planeacin estratgica de TI. No est

Nivel 5 Nivel 4 Nivel 3 Nivel 2 Nivel 1 Nivel 0
consiente la Gerencia de que la planeacin estratgica X

de TI es necesaria para apoyar los objetivos y las
metas del negocio.
La gerencia de TI conoce la necesidad de una
planeacin estratgica de TI. La planeacin de TI se X
realiza segn se necesite como respuesta a un
requisito de estratgica
La planeacin negocio especfico. La planeacin
de TI se comparte con la
gerencia del negocio segn se necesite. La X
actualizacin de los planes de TI ocurre como
respuesta
Una polticaa las solicitudes
define cmo ydecundo
la direccin.
realizar Las
la GRADO DE MADUREZ - El
planeacin estratgica de TI. La planeacin estratgica X proceso de Definicin de un Plan
de TI sigue un enfoque estructurado, el cual se Estratgico se encuentra en un
documenta y se da a conocer a todo el equipo. El Nivel 3.
4
- RECOMENDACIONES PO1
COBIT establece para el proceso P01 la necesidad de cumplir con los
siguientes objetivos de control:
1. Administracin del Valor de TI.
2. Alineacin de TI con el Negocio.
3. Evaluacin del Desempeo y la Capacidad Actual.
4. Plan Estratgico de TI.
5. Planes Tcticos de TI.
6. Administracin del Portafolio de TI.
El objetivo primordial de un modelo de madurez es el ascender a un

grado de madurez superior, por esto para que el proceso PO1 ascienda a
un grado de madurez 3, como estrategia a corto plazo y conforme lo
establece COBIT:
Es recomendable que la Gerencia de TI de la Empresa Software y Sistemas

del Per SAC cree un plan estratgico que defina, en cooperacin con los
interesados relevantes, cmo TI contribuir a los objetivos estratgicos de la
empresa, as como los costos y riesgos relacionados. Incluyendo cmo TI
dar soporte a los programas de inversin facilitados por TI y a la entrega
de los servicios operativos.
Como estrategia a mediano plazo se recomienda que se tome en

consideracin los siguientes puntos:
Es recomendable que la Empresa Software y Sistemas del Per SAC defina

cmo se cumplirn y medirn los objetivos y recibirn una autorizacin
formal de los interesados, cree un portafolio de planes tcticos de TI que se
deriven del plan estratgico de TI. Estos planes tcticos deben describir las
iniciativas y los requerimientos de recursos requeridos por TI, y cmo el uso
de los recursos y el logro de los beneficios sern monitoreados y
administrados.
5
2.- PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIN
PO2: Definicin de la Arquitectura de Informacin
e Parcialment
No cumple
Cumple
No existe conciencia de la importancia de la

arquitectura de la informacin para la organizacin. El X

conocimiento, la experiencia y las responsabilidades
necesarias para desarrollar estade arquitectura no
La gerencia reconoce la necesidad una arquitectura
de informacin. El desarrollo de algunos componentes X
de una arquitectura de informacin ocurre de manera
inicial.
Surge un Las proceso
definiciones de una estructura
de arquitectura informacin
de informacin y
existe procedimientos similares, aunque intuitivos e X
informales, que se siguen por distintos individuos
dentro de la organizacin.
La importancia Las personas
de la arquitectura obtienen sus
de la informacin se GRADO DE MADUREZ - El
entiende y se acepta, y la responsabilidad de su X proceso de Definicin de la
aplicacin se asigna y se comunica de forma clara. Los Arquitectura de la informacin
procedimientos, herramientas y tcnicas relacionados, se encuentra en un Nivel 3.
siguientes objetivos control:
1. Modelo de Arquitectura de Informacin Empresarial.

2. Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos.
3. Esquema de Clasificacin de Datos.
4. Administracin de Integridad.
6
establece COBIT:
Es recomendable que la Empresa Software y Sistemas del Per SAC

establezca procedimientos formales para una buena clasificacin y
estructura de la informacin, logrando con ello que los sistemas de
informacin estn bien organizados.


establezca un esquema de clasificacin que aplique a toda la empresa,
basado en que tan crtica y sensible es la informacin (esto es, pblica,
confidencial, secreta) de la empresa y defina e Implemente procedimientos
para garantizar la integridad y consistencia de todos los datos almacenados
en formato electrnico, tales como bases de datos, almacenes de datos y
archivos.
3.- PO3 DETERMINACIN DE LA DIRECCIN TECNOLGICA

PO3: Determinacin de la Direccin Tecnolgica
7
e Parcialment
No cumple
Cumple
No existe conciencia sobre la importancia de la

planeacin de la infraestructura tecnolgica para la X

entidad. El conocimiento y la experiencia necesarios
para desarrollar dichola necesidad
plan de deinfraestructura
La gerencia reconoce planear la
infraestructura tecnolgica. El desarrollo de X
componentes tecnolgicos y la implantacin de
tecnologas
Se difunde laemergentes
necesidad eson iniciales yde
importancia aislados. Existe
la planeacin GRADO DE MADUREZ - El
tecnolgica. La planeacin es tctica y se enfoca en X proceso de determinacin de la
generar soluciones tcnicas a problemas tcnicos, en direccin tecnolgico se
lugar de usar la tecnologa para satisfacer las encentra en el nivel 2.
1. Planeacin de la Direccin Tecnolgica.

2. Plan de Infraestructura Tecnolgica.
3. Monitoreo de Tendencias y Regulaciones Futuras.
4. Estndares Tecnolgicos.
5. Consejo de Arquitectura de TI.

establece COBIT:
8
difunda la necesidad e importancia de poseer un plan de infraestructura
tecnolgica slido, bien documentado y el mismo sea difundido a todos los
miembros de la empresa sobre las herramientas de tecnologa que poseen
en la empresa y as tambin sea alineado al plan estratgico de TI.

consideracin los siguientes puntos: Es recomendable que la Empresa
Software y Sistemas del Per SAC establezca un proceso para
monitorear las tendencias ambientales del sector, tecnolgicas, de
infraestructura, legales y regulatorias, proporcione soluciones
tecnolgicas consistentes, efectivas y seguras para toda la empresa,
establezca un foro tecnolgico para brindar directrices tecnolgicas,
asesora sobre los productos de la infraestructura y guas sobre la
seleccin de la tecnologa, y mida el cumplimiento de estos estndares y
directrices y establezca un comit de arquitectura de TI que proporcione
directrices sobre la arquitectura y asesora sobre su aplicacin, y que
verifique el cumplimiento.
4.- PO4 DEFINIR PROCESOS, ORGANIZACIN Y RELACIONES

DE TI
PO4: Definir Procesos, Organizacin y Relaciones de TI
e Parcialment
No cumple
Cumple

Nivel 1 Nivel 0
La organizacin de TI no est establecida de forma

efectiva para enfocarse en el logro de los objetivos del X
negocio.
Las actividades y funciones de TI son reactivas y se
implantan de forma inconsistente. TI se involucra en X
los proyectos solamente en las etapas finales. La
funcin de TI se considera como una funcin de
9
La funcin de TI est organizada para responder de GRADO DE MADUREZ - El
Nivel 5 Nivel 4 Nivel 3 Nivel 2
forma tctica, aunque de forma inconsistente, a las X proceso de definir procesos,

necesidades de los clientes y a las relaciones con los organizacin y relaciones de TI
proveedores. La necesidad de cortar con una se encuentra en el nivel 2.
1. Marco de Trabajo de Procesos de TI.

2. Comit Estratgico de TI.
3. Comit Directivo de TI.
4. Ubicacin Organizacional dela Funcin de TI.
5. Estructura Organizacional.
6. Establecimiento de Roles y Responsabilidades.
7. Responsabilidad de Aseguramiento de Calidad de TI.
8. Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento.
9. Propiedad de Datos y de Sistemas.
10. Supervisin.
11. Segregacin de Funciones.
12. Personal de TI.
13. Personal Clave de TI.
10
14. Polticas y Procedimientos para Personal Contratado.
15. Relaciones.

establece COBIT:
Es recomendable que en la empresa Software y Sistemas del Per SAC las

funciones y responsabilidades de todos los empleados estn bien
documentadas de manera formal; para que as la atencin de las
necesidades de los clientes y la relacin con los proveedores sean de
manera efectiva. As como tambin se recomienda que dentro de la
compaa se desarrollen tcnicas para administrar a la empresa de TI y las
relaciones con los proveedores; logrando con ello un servicio correcto de TI
y que no solo se enfoque en cierto personal que tiene el conocimiento.
Como estrategia a largo plazo se recomienda que se tome en


establezca una estructura organizacional de TI interna y externa que refleje
las necesidades del negocio. Adems implemente un proceso para revisar la
estructura organizacional de TI de forma peridica, defina y comunique los
roles y las responsabilidades para el personal de TI, asigne la
responsabilidad para el desempeo de la funcin de aseguramiento de
calidad(QA) y proporcione al grupo de QA sistemas de QA, los controles y la
experiencia para comunicarlos, establecerla propiedad y la responsabilidad
de los riesgos relacionados con TI a un nivel superior apropiado, proporcione
al negocio los procedimientos y herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos y los sistemas de
informacin, implementar prcticas adecuadas de supervisin dentro de la
funcin de TI, implemente prcticas adecuadas de supervisin dentro de la
funcin de TI, evale los requerimientos de personal de forma regular
cuando existan cambios importantes en el ambiente de negocios, defina e
identifique al personal clave de TI y minimice la dependencia en un solo
individuo desempeando una funcin de trabajo crtica, establezca y
11
mantenga una estructura ptima de enlace, comunicacin y coordinacin
entre la funcin de TI y otros interesados dentro y fuera dela funcin de TI.
5.- PO5 ADMINISTRAR LA INVERSIN EN TI

PO5: Administrar la Inversin en TI
e Parcialment
No cumple
Cumple

Nivel 2 Nivel 1 Nivel 0
No hay conciencia de la importancia de la seleccin y

presupuesto de la inversin de TI. No hay seguimiento X
o monitoreo de las inversiones y gastos de TI.
La organizacin reconoce la necesidad de administrar
la inversin de TI, pero esta necesidad es comunicada X
de manera inconsistente. No hay una asignacin
formal
Hay un de responsabilidad
entendimiento para de
implcito la la
seleccin de de
necesidad la GRADO DE MADUREZ - El
seleccionar y presupuestar la inversin de TI. La X proceso de definir procesos,
necesidad de un proceso de seleccin y del organizacin y relaciones de TI
establecimiento de un presupuesto es comunicada. El se encuentra en el nivel 2.
12
Los procesos de seleccin y presupuestacin de la
Nivel 5 Nivel 4 Nivel 3
inversin de TI son razonablemente correctos y X

abarcan aspectos claves de negocio y de la tecnologa.
La
La seleccin y poltica
responsabilidad y ladeobligacin
la inversin
de es definida,
reportar la
seleccin y presupuesto de inversiones es asignada a X
una persona especfica. Las variaciones del
presupuesto son identificadas y resueltas. El personal
Las ganancias y el rendimiento son calculados tanto en GRADO DE MADUREZ - El
trminos financieros como no financieros. Se usan las X proceso de administrar la
mejores prcticas de la industria para marcar como inversin en TI se encuentra en
referencia los costos y para identificar los mtodos el nivel 5.
1. Marco de Trabajo para la Administracin Financiera

2. Prioridades Dentro del Presupuesto de TI
3. Proceso Presupuestal
4. Administracin de Costos de TI
5. Administracin de Beneficios

grado de madurez superior,
por esto para TABLA 3.5: Modelos de que el proceso PO5
Madurez PO5
ascienda a un grado de madurez
5, como estrategia a corto
plazo y conforme lo establece COBIT:
Es recomendable que la Empresa

Software y Sistemas del Per
SAC investigue las alternativas de financiamiento y evaluadas formalmente
dentro del contexto de la estructura de capital existente de la organizacin,
usando mtodos formales de evaluacin. Que exista un anlisis del costo a
largo plazo de propiedad est incorporado en las decisiones de inversin.
6.- PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE

LA GERENCIA
13
PO6: Comunicar las Aspiraciones y la Direccin de la Gerencia
e Parcialment
No cumple
Cumple
La gerencia de TI no ha establecido un entorno positivo

de control de la informacin. No hay reconocimiento de X

la necesidad de establecer un conjunto de polticas,
procedimientos, estndares
al resolvery los procesos de
La gerencia es reactiva requerimientos
del ambiente de control de informacin. Las polticas, X
procedimientos estndares se elaboran y comunican
de
La forma AD HOC
gerencia tienedeunacuerdo a los temas.
entendimiento Los procesos
implcito de las
necesidades y de los requerimientos de un ambiente X
de control de informacin efectivo, aunque las
prcticas sonhaenelaborado,
La gerencia su mayora informales. La
documentado gerencia ha
y comunicado GRADO DE MADUREZ - El
un ambiente completo de administracin de calidad y X proceso de comunicar las
control de la informacin, que incluye un marco para aspiraciones y la directiva de la
las polticas, procedimientos y estndares. El proceso gerencia se encuentra en el
1. Ambiente de Polticas y de Control

2. Riesgo Corporativo y Marco de Referencia de Control Interno de TI
3. Administracin de Polticas para TI
4. Implantacin de Polticas de TI
5. Comunicacin de los Objetivos y la Direccin de TI

14
establece COBIT:

elabore y de mantenimiento a un conjunto de polticas que apoyen la
estrategia de TI. Estas polticas deben incluir su intencin, roles y
responsabilidades, procesos de excepcin, enfoque de cumplimiento y
referencias a procedimientos, estndares y directrices. Su relevancia se
debe confirmar y aprobar en forma regular.

Es recomendable que la Empresa Software y Sistemas del Per SAC se

asegure que las polticas de TI se implanten y se comunicen a todo el
personal relevante, y se refuerzan, de tal forma que estn incluidas y sean
parte integral de las operaciones empresariales y que se asegure la
conciencia y el entendimiento de los objetivos y la direccin del negocio y
de TI se comunican a los interesados apropiados y a los usuarios de toda la
organizacin.
7.- PO7 ADMINISTRAR RECURSOS HUMANOS DE TI

PO7: Administrar los Recurso Humanos de TI
e Parcialment
No cumple
Cumple
No existe conciencia sobre la importancia de alinear la

Nivel 1 Nivel 0
administracin de recursos humanos de TI con el X

proceso de planeacin de la tecnologa para la
organizacin. No hay persona o grupo
La gerencia reconoce la necesidad de formalmente
contar con
administracin de recursos humanos de TI. El proceso X
de administracin de recursos humanos de TI es
informal y reactivo. El proceso de recursos humanos de
15
Existe un enfoque tctico para contratar y administrar
Nivel 5 Nivel 4 Nivel 3 Nivel 2
al personal de TI, dirigido por necesidades especficas X

de proyectos, en lugar de hacerlo con base en un
equilibrio
Existe unentendido
proceso dedefinido
disponibilidad interna y externa
y documentado para
administrar los recursos humanos de TI. Existe un plan X
de administracin de recursos humanos. Existe un
enfoque
La estratgico para
responsabilidad de lala elaboracin
contratacin yy la el GRADO DE MADUREZ - El
mantenimiento de un plan de administracin de X proceso de administracin los
recursos humanos de TI han sido asignadas a un Recursos Humanos de TI, se
individuo o grupo con las habilidades y experiencia encuentra en el nivel 4.
1. Reclutamiento y Retencin del Personal

2. Competencias del Personal
3. Asignacin de Roles
4. Entrenamiento del Personal de TI
5. Dependencia Sobre los Individuos
6. Procedimientos de Investigacin del Personal
7. Evaluacin del Desempeo del Empleado
8. Cambios y Terminacin de Trabajo

establece COBIT:
Es recomendable que la Empresa Software y Sistemas del Per SAC posea

evaluaciones de desempeo y que en sus evaluaciones de desempeo se
realicen peridicamente, comparando contra los objetivos individuales
derivados de las metas organizacionales, estndares establecidos y
responsabilidades especficas del puesto. Los empleados deben recibir
adiestramiento sobre su desempeo y conducta, segn sea necesario.
16
Es recomendable que la Empresa Software y Sistemas del Per SAC tome

medidas expeditas respecto a los cambios en los puestos, en especial las
terminaciones. Se debe realizar la transferencia del conocimiento, reasignar
responsabilidades y se deben eliminar los privilegios de acceso, de tal modo
que los riesgos se minimicen y se garantice la continuidad de la funcin.
8.- PO8 ADMINISTRAR CALIDAD

PO8: Administrar la Calidad
e Parcialment
No cumple
Cumple
La organizacin carece de un sistema de un proceso de

planeacin de QMS y de una metodologa de ciclo de X

vida de desarrollo de sistema (SDLC, por sus siglas en
ingls). La alta direccin y el equipo
de ladedireccin
TI no reconocen
Existe conciencia por parte de la
necesidad de un QMS. El QMS es impulsado por X
individuos cuando ste ocurre. La direccin realiza
juicios informticos
Se establece sobre lapara
un programa calidad.
definir y monitoreo las
actividades de QMS dentro de TI. Las actividades de X
QMS que ocurren estn enfocadas en iniciativas
orientadas
La direccina ha
procesos proyectos,
comunicado no a procesos
un proceso de
definido de GRADO DE MADUREZ - El
QMS e introduce a TI y a la gerencia del usuario final. X proceso Administracin la
Un programa de educacin y entrenamiento est Calidad se encuentra en el nivel
surgiendo para instruir a todos los niveles de la 3.
17
1. Sistema de Administracin de Calidad

2. Estndares y Prcticas de Calidad
3. Estndares de Desarrollo y de Adquisicin
4. Enfoque en el Cliente de TI
5. Mejora Continua 6 Medicin, Monitoreo y Revisin de la Calidad

establece COBIT:

mantenga y comunique regularmente un plan global de calidad que
promueva la mejora continua, para que as se pueda tener un conocimiento
del control de calidad en todos los usuarios y no solo en el rea de QA.


defina, planee e implemente mediciones para monitorear el cumplimiento
continuo del QMS, as como el valor que el QMS proporciona. La medicin, el
monitoreo y el registro de la informacin deben ser usados por el dueo del
proceso para tomar las medidas correctivas y preventivas apropiadas.
18
9.- PO9 EVALUAR Y ADMINISTRAR RIESGOS DE TI
PO9: Evaluar y Administrar los Riesgos de TI
e Parcialment
No cumple
Cumple
La evaluacin de riesgos para los procesos y las

decisiones de negocio no ocurre. La organizacin no X

toma en cuenta los impactos en el negocio asociados a
las vulnerabilidades de enseguridad y a las
Los riesgos de TI se toman cuenta de manera AD
HOC. Se realizan evaluaciones informales de riesgos X
segn lo determine cada proyecto. En algunas
ocasiones se identifican
Existe un enfoque evaluaciones
de evaluacin de riesgos
de riesgos en un
inmaduro y
en evolucin y se implantan a discrecin de los X
gerentes de proyecto. La administracin de riesgos se
da
Unapor lo general
poltica a altos nivelesde
de administracin y se aplicapara
riesgos de manera
toda la GRADO DE MADUREZ - El
organizacin define cundo y cmo realizar las X proceso Administracin la
evaluaciones de riesgos. La administracin de riesgos Calidad se encuentra en el nivel
sique un proceso definido el cual est documentado. El 3.
19
1. Marco de Trabajo de Administracin de Riesgos
2. Establecimiento del Contexto del Riesgo
3. Identificacin de Eventos
4. Evaluacin de Riesgos de TI
5. Respuesta a los Riesgos
6. Mantenimiento y Monitoreo de un Plan de Accin de Riesgos

establece COBIT:

identifique eventos con un impacto potencial negativo sobre las metas las
operaciones de la empresa, incluyendo aspectos de negocio, regulatorios,
legales, tecnolgicos, de sociedad comercial, de recursos humanos y
operativos. Determine la naturaleza del impacto y mantener esta
informacin. Registre y mantenga los riesgos relevantes en un registro de
riesgos.


evalu de forma recurrente la probabilidad e impacto de todos los riesgos
identificados, usando mtodos cualitativos y cuantitativos. Desarrolle y
mantenga un proceso de respuesta a riesgos diseado para asegurar que
control es efectivos en costo mitigan la exposicin en forma continua,
adems Priorice y planee las actividades de control a todos los niveles para
implementar las respuestas a los riesgos, identificadas como necesarias,
incluyendo la identificacin de costos, beneficios y la responsabilidad de la
ejecucin.
20
10.- PO10 ADMINISTRAR PROYECTOS
PO10: Administrar proyectos
e Parcialment
No cumple
Cumple
Las tcnicas de administracin no se usan y la

organizacin no toma en cuenta los impactos al X

negocio asociados con la mala administracin de los
proyectos
EL uso dey con las fallas
tcnicas de desarrollo
y enfoques en el proyecto.de
de administracin
proyectos dentro de TI es una decisin individual que se deja
X
a los gerentes de TI. Existe una carencia de compromiso por
parte de la gerencia hacia la propiedad de proyectos y hacia
La alta direccin ha obtenido y comunicado la
conciencia de la necesidad de una administracin de X
los proyectos de TI. La organizacin est en proceso de
desarrollar
El proceso yy utilizar algunas tcnicas
la metodologa y mtodos
de administracin de
de
proyectos de TI han sido establecidos y comunicados. X
Los proyectos de TI se definen con los objetivos
tcnicos y de
La gerencia negocio
requiere adecuados.
que se revisen La alta direccin
mtricas del
y lecciones
aprendidas estandarizadas y formales despus de terminar
X
cada proyecto. La administracin de proyectos se mide y
evala a travs de la organizacin y no solo de TI. Las
Se encuentra implantada una metodologa comprobada de
ciclo de vida de proyectos, la cual se esfuerza y se integra en X
la cultura de la organizacin completa. Se ha implantado una
iniciativa continua para identificar e institucionalizar las
Ninguna, la Empresa Software y Sistemas del Per SAC cumple con todos
los objetivos de control del proceso PO10, llegando a obtener el Nivel 5:
1. Marco de Trabajo para la Administracin de Programas

2. Marco de Trabajo para la Administracin de Proyectos
3. Enfoque de Administracin de Proyectos
4. Compromiso de los Interesados
5. Declaracin de Alcance del Proyecto
6. Inicio de las Fases del Proyecto
7. Plan Integrado del Proyecto
8. Recursos del Proyecto
9. Administracin de Riesgos del Proyecto
10. Plan de Calidad del Proyecto
11. Control de Cambios del Proyecto
21
12. Planeacin del Proyecto y Mtodos de Aseguramiento
13. Medicin del Desempeo, Reporte y Monitoreo del Proyecto
14. Cierre del Proyecto
ADQUIRIR E IMPLEMENTAR (AI)

- AI1 Identificar soluciones automatizadas
- AI2 Adquirir y mantener el software aplicativo
- AI3 Adquirir y mantener la infraestructura tecnolgica
- AI4 Facilitar la operacin y el uso
- AI5 Adquirir recursos de TI
- AI6 Administrar cambios
- AI7 Instalar y acreditar soluciones y cambios
22
1.- AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS:
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
e Parcialment
No cumple
Cumple
La organizacin no requiere la identificacin de

requerimientos funcionales y operativos para el X

desarrollo, implementacin o modificacin de
soluciones, como por ejemplo soluciones de sistema de
Existe conciencia de la necesidad de definir
requerimientos y de identificar soluciones tecnolgicas. X
Grupos individuales se renen para analizar las
necesidades de enfoques
Existen algunos manera informal
intuitivosy para
los requerimientos
identificar que
existen soluciones de TI y estos varan a lo largo del X
negocio. Las soluciones se identifican de manera
informal
Existen con base enclaros
enfoques la experiencia interna y en
y estructurados el
para
determinar las soluciones de TI. El enfoque para la X
determinacin de las soluciones de TI requiere la
consideracin
Existe una de alternativas establecida
metodologa evaluadas contra
para los
la GRADO DE MADUREZ: El
identificacin y la evaluacin de las soluciones de TI y X proceso de identificar soluciones
se usa para la mayora de los proyectos. La Automatizadas, se encuentra en
documentacin de los proyectos es de buena calidad y el nivel 4.
- RECOMENDACIONES AI1
COBIT establece para el proceso AI1 la necesidad de cumplir con los

1. Definicin y Mantenimiento de los Requerimientos Tcnicos y Funcional es

de Negocio
2. Reporte de Anlisis de Riesgos
3. Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos
4. Requerimientos, Decisin de Factibilidad y Aprobacin

grado de madurez superior, por esto para que el proceso AI1
ascienda a un grado de madurez 3, como estrategia a corto plazo y
conforme lo establece COBIT
23
Es recomendable que en la Empresa Software y Sistemas del Per se
consideren soluciones alternativas, incluyendo el anlisis de costos y
beneficios. El modelo sea clara, definida, generalmente entendida y
medible. Exista una interfaz definida de forma clara entre la gerencia de TI y
la del negocio para la identificacin y evaluacin de las soluciones de TI.

Es recomendable que en la Empresa Software y Sistemas del Per

desarrolle un estudio de factibilidad que examine la posibilidad de
Implementar los requerimientos. La administracin del negocio, apoyada
por la funcin de TI, debe evaluarla factibilidad y los cursos alternativos de
accin y realizar recomendaciones al patrocinador del negocio. Verifique que
el proceso requiere al patrocinador del negocio para aprobar y autorizar los
requisitos de negocios, tanto funcionales como tcnicos, y los reportes del
estudio de factibilidad en las etapas claves predeterminadas. El
patrocinador del negocio tiene la decisin final con respecto a la eleccin de
la solucin y al enfoque de adquisicin.
24
2.- AI2 ADQUIRIR Y MANTENER EL SOFTWARE APLICATIVO:
AI2: Adquirir y Mantener Software Aplicativo
e Parcialment
No cumple
Cumple
No hay un proceso para disear y especificar

aplicaciones. Tpicamente, las aplicaciones se obtiene X

base de ofertas impulsadas por vendedores,
reconocimiento de de
marcas o familiaridad del personal
Existe conciencia la necesidad de contar con un
proceso de adquisicin y mantenimiento de X
aplicaciones. Los enfoque para la adquisicin y
mantenimiento
Existen procesosdedesoftware aplicativo
adquisicin varan de un
y mantenimiento de
aplicaciones, con diferentes pero similares, en base a X
la experiencia dentro de la operacin de TI. El
mantenimiento
Existe un procesoes claro,
a menudo
definidoproblemtico y se
y de comprensin GRADO DE MADUREZ: El
general para la adquisicin y mantenimiento de X proceso de Adquirir y Mantener
software aplicativo. Este proceso va de acuerdo con la Software Aplicativo, se
estrategia de TI y del negocio. Se intenta aplicar los encuentra en el nivel 3.

1. Diseo de Alto Nivel

2. Diseo Detallado
3. Control y Posibilidad de Auditar las Aplicaciones
4. Seguridad y Disponibilidad de las Aplicaciones
5. Configuracin e Implantacin de Software Aplicativo Adquirido
6. Actualizaciones Importantes en Sistemas Existentes
7. Desarrollo de Software Aplicativo
8. Aseguramiento de la Calidad del Software
9. Administracin de los Requerimientos de Aplicaciones
10. Mantenimiento de Software Aplicativo
25
conforme lo establece COBIT:
Es recomendable que la Empresa Software y Sistemas del Per cuente con

un proceso claro, definido y de comprensin general para la adquisicin y
mantenimiento de software aplicativo y este proceso vaya de acuerdo con la
estrategia de TI y del negocio. Se intente aplicar los procesos de manera
consistente a travs de diferentes aplicaciones y proyectos.

Es recomendable que en la Empresa Software y Sistemas del Per

garantice que la funcionalidad de automatizacin se desarrolla de acuerdo
con las especificaciones de diseo, los estndares de desarrollo y
documentacin, los requerimientos de calidad y estndares de aprobacin.
Asegurar que todos los aspectos legales y contractuales se identifican y
direccionan para el software aplicativo desarrollado por terceros. Desarrolle,
Implemente los recursos y ejecutar un plan de aseguramiento de calidad del
software, para obtenerla calidad que se especifica en la definicin de los
requerimientos y en las polticas y procedimientos de calidad de la
organizacin y Desarrolle una estrategia y un plan para el mantenimiento de
aplicaciones de software.
26
3.- AI3 ADQUIRIR Y MANTENER LA INFRAESTRUCTURA
TECNOLGICA:
AI3: Adquirir y Mantener la Infraestructura Tecnolgica
e Parcialment
No cumple
Cumple
No se reconoce la administracin de la infraestructura

de tecnologa como un asunto importante al cual debe X

ser resuelto.
Se realizan cambios a la infraestructura para cada
nueva aplicacin, sin ningn plan en conjunto. Aunque X
se tiene la percepcin de que la infraestructura de TI
es importante,
No hay noentre
consistencia existe un tcticos
enfoques enfoqueal adquirir
general
y dar mantenimiento a la infraestructura de TI. La X
adquisicin y mantenimiento de la infraestructura de TI
no se basa
Existe en una
un claro, estrategia
definido definida y no entendido
y generalmente considera
proceso para adquirir y dar mantenimiento a la X
infraestructura TI. El proceso respalda las necesidades
de las aplicaciones crticas del negocio y concuerda GRADO DE MADUREZ: El
Se desarrolla el proceso de adquisicin y X proceso de Adquirir y Mantener
mantenimiento de la infraestructura de tecnologa a tal Infraestructura Tecnolgica, se
punto que funciona bien para la mayora de las encuentra en el nivel 4.

1. Plan de Adquisicin de Infraestructura Tecnolgica

2. Proteccin y Disponibilidad del Recurso de Infraestructura
3. Mantenimiento de la Infraestructura
4. Ambiente de Prueba de Factibilidad

27
Es recomendable que la Empresa Software y Sistemas del Per establezca
un proceso bien organizado y preventivo. Adems, el costo y el tiempo de
realizacin para alcanzar el nivel esperado de escalamiento, flexibilidad e
integracin sean optimizados parcialmente.

Es recomendable que la Empresa Software y Sistemas del Per desarrolle
una estrategia y un plan de mantenimiento dela infraestructura y garantizar
que se controlan los cambios, de acuerdo con el procedimiento de
administracin de cambios de la organizacin. Incluir una revisin peridica
contra las necesidades del negocio, administracin de parches y estrategias
de actualizacin, riesgos, evaluacin de vulnerabilidades y requerimientos
de seguridad. Adems establezca un ambiente de desarrollo y pruebas para
soportarla efectividad y eficiencia de las pruebas de factibilidad e
integracin de aplicaciones e infraestructura, en las primeras fases del
proceso de adquisicin y desarrollo. Hay que considerar la funcionalidad, la
configuracin de hardware y software, pruebas de integracin y desempeo,
migracin entre ambientes, control de las versiones, datos y herramientas
de prueba y seguridad.
28
4.- AI4 FACILITAR LA OPERACIN Y EL USO:
AI4: Facilitar la Operacin y el Uso
e Parcialment
No cumple
Cumple
No existe el proceso con respecto a la produccin de

documentacin de usuario, manuales de operacin y X

material de entrenamiento. Los nicos materiales
existentes son aquellos
de que
quesela suministran con los
Existe la percepcin documentacin de
proceso es necesario. La documentacin se genera X
ocasionalmente y se distribuye en forma desigual a
grupos
Se limitados.
utilizan Mucha similares
enfoques de la documentacin
para generay
procedimientos y documentacin, pero no se basan en X
un enfoque estructural marco de trabajo. No hay
enfoque uniforme
Existe un para elbien
esquema desarrollo de procedimientos
definido, aceptado y GRADO DE MADUREZ: El
comprendido para documentacin del usuario, X proceso de Facilitar la Operacin
manuales de operacin y materiales de entrenamiento. y el Uso, se encuentra en el
Se guardan y se mantienen los procedimientos en una nivel 3.

1. Plan para Soluciones de Operacin

2. Transferencia de Conocimiento a la Gerencia del Negocio
3. Transferencia de Conocimiento a Usuarios Finales
4. Transferencia de Conocimiento al Personal de Operaciones y Soporte

Es recomendable que la Empresa Software y Sistemas del Per posea un

proceso que especifique las actualizaciones de procedimientos y los
29
materiales de entrenamiento para que sea un entregable explcito de un
proyecto de cambio. Adems es recomendable que el contenido actual no
vare y estas variaciones se realicen mediante un control de cambios para
reforzar el cumplimiento de estndares que los usuarios se involucran en los
procesos de una manera formal y sean registrados.

Es recomendable que la Empresa Software y Sistemas del Per transfiera

el conocimiento a la gerencia de la empresa para permitirles tomar posesin
del sistema y los datos y ejercer la responsabilidad por la entrega y calidad
del servicio, del control interno, y de los procesos administrativos de la
aplicacin. La transferencia de conocimiento incluye la aprobacin de
acceso, administracin de privilegios, segregacin de tareas, controles
automatizados del negocio, respaldo/recuperacin, seguridad fsica y
archivo de la documentacin fuente.
30
5.- AI5 ADQUIRIR RECURSOS DE TI:
AI5: Adquirir Recursos de TI
e Parcialment
No cumple
Cumple
No existe un proceso definido de adquisicin de

recursos de TI. La organizacin no reconoce la X

necesidad de tener polticas y procedimientos claros de
adquisicin para ha
garantizar que latodos los recursos de
La organizacin reconocido necesidad de tener
polticas y procedimientos documentales que enlacen X
la adquisicin de TI con el proceso general de
adquisiciones de laorganizacional
Existe conciencia organizacin. Los
de contratos parade
la necesidad la
tener polticas y procedimientos bsicos para la X
adquisicin de TI. Las polticas y procedimientos se
integran parcialmente con el proceso general de GRADO DE MADUREZ: El
La administracin establece polticas y procedimientos X proceso de Adquirir Recursos de
para la adquisicin de TI. Las polticas y TI, se encuentra en el nivel 3.
procedimientos toman como gua el proceso general OBJETIVOS NO CUMPLIDOS:

1. Control de Adquisicin
2. Administracin de Contratos con Proveedores
3. Seleccin de Proveedores
4. Adquisicin de Recursos de TI

Es recomendable que en la Empresa Software y Sistemas del Per los

proveedores de recursos de TI se integran dentro de los mecanismos de
31
administracin de proyectos de la organizacin desde una perspectiva de
administracin de contratos. Adems, la administracin de TI comunique la
necesidad de contar con una administracin adecuada de adquisiciones y
contratos en toda la funcin de TI.

Es recomendable que la Empresa Software y Sistemas del Per formule un

procedimiento para establecer, modificar y concluir contratos para todos los
proveedores, seleccione proveedores de acuerdo a una prctica justa y
formal para garantizar la mejor viable y encajarlo segn los requerimientos
especificados, proteja y haga cumplir los intereses de la organizacin en
todo los contratos de adquisiciones, incluyendo los derechos y obligaciones
de todas las partes en los trminos contractuales para la adquisicin de
software, recursos de desarrollo, infraestructura y servicios.
32
6.- AI6 ADMINISTRAR CAMBIOS:
AI6: Administrar Cambios
e Parcialment
No cumple
Cumple
No existe un proceso definido de administracin de

cambio y los cambios se pueden realizar virtualmente X

sin control. No hay conciencia de que el cambio puede
causar una interrupcin paradeben
TI y las
seroperaciones del
Se reconoce que los cambios administrativos
y controlados, pero no hay un proceso consistente para X
seguimiento. Las prcticas varan y es probable que
ocurran
Existe uncambios no autorizados.
proceso informal de Hay documentacin
administracin de
cambios y la mayora de los cambios siguen este X
mtodo: sin embargo, el mismo no est estructurado,
es rudimentario
Existe un y esta propenso
proceso formal adefinido
error. La para
precisin
la
administracin del cambio que incluye la X
categorizacin, asignacin de prioridades,
procedimientos de emergencia,
El proceso de administracin autorizacin
de cambio del
se desarrolla GRADO DE MADUREZ: El
bien y es consistente para todos los cambios, y la X proceso de AI6, Administrar
gerencia confa que hay excepciones mnimas. El Cambios, se encuentra en el
proceso es eficiente y efectivo, pero se basa en nivel 4.

1. Estndares y Procedimientos para Cambios

2. Evaluacin de Impacto, Priorizacin y Autorizacin
3. Cambios de Emergencia
4. Seguimiento y Reporte del Estatus de Cambio
5. Cierre y Documentacin del Cambio

33
proceso de administracin de cambio consistente para todos los cambios,
existen excepciones mnimas. Que todos los cambios estn sujetos a una
planeacin minuciosa y a la evaluacin del impacto para minimizar la
probabilidad de tener problemas de postproduccin. Adems, planee e
implante la administracin de cambios en TI para que se integren con los
cambios en los procesos de negocio, para asegurar que se resuelven los
asuntos referentes al entrenamiento, cambio organizacional y continuidad
del negocio.

Es recomendable que la Empresa Software y Sistemas del Per garantice

que todas las solicitudes de cambio se evalan de una manera estructurada
en cuanto a impacto sea el sistema operacional y su funcionalidad,
establezca un proceso para definir, plantear, evaluar y autorizarlos cambios
de emergencia que no sigan el proceso de cambio establecido, establezca
un sistema de seguimiento y reporte para mantener actualizados a los
solicitantes de cambio y a los interesados relevantes y siempre que se
implantan cambios al sistema.
34
7.- AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS:
AI7: Instalar y Acreditar Soluciones y Cambios
e Parcialment
No cumple
Cumple
Hay una ausencia completa de procesos formales de

instalacin o acreditacin y ni la gerencia senior ni el X

personal de TI reconocen la necesidad de verificar que
las soluciones se ajustan
de para el propsito
Existe la percepcin la necesidad dedeseado.
verificar y
confirmar que las soluciones implantadas sirven para X
el propsito esperado. Las pruebas se realizan para
algunos proyectos,
Existe cierta pero laentre
consistencia iniciativa de pruebas
los enfoques de se deja
prueba
y acreditacin, pero por lo regular no se basan en X
ninguna metodologa. Los equipos individuales de
desarrollo deciden normalmente el enfoque de prueba GRADO DE MADUREZ: El
Se cuenta con una metodologa formal en relacin con x proceso de instalar y Acreditar
la instalacin, migracin, conversin y aceptacin. Los Soluciones y Cambios, se
procesos de TI para instalacin y acreditacin estn encuentra en el nivel 3.

1. Entrenamiento
2. Plan de Prueba
3. Plan de Implantacin
4. Ambiente de Prueba
5. Conversin de Sistemas y Datos
6. Pruebas de Cambios
7. Prueba de Aceptacin Final.
8. Promocin a Produccin
9. Revisin Posterior a la Implantacin
35
Es recomendable que la Empresa Software y Sistemas del Per cuente con

una metodologa formal en relacin con la instalacin, migracin, conversin
y aceptacin. Que los procesos de TI para instalacin y acreditacin estn
integrados dentro del ciclo de vida del sistema y estn automatizados hasta
cierto punto.

Es recomendable que la Empresa Software y Sistemas del Per establezca

un plan de pruebas basado en los estndares de la organizacin que define
roles, responsabilidades, y criterios de entrada y salida. Un plan de
implantacin y respaldo y vuelta atrs. Defina y establezca un entorno
seguro de pruebas representativo, implementar un plan de conversin de
datos y migracin de infraestructuras como parte de los mtodos de
desarrollo de la organizacin, incluyendo pistas de auditoria, respaldo y
vuelta atrs, realizar pruebas de cambios de acuerdo a los planes, que
existan la aprobacin de los resultados obtenidos por el dueo del proceso.
36
ENTREGAR Y DAR SOPORTE (DS)
- DS1 Definir y administrar niveles de servicio
- DS2 Administrar servicios de terceros
- DS3 Administrar desempeo y capacidad
- DS4 Garantizar la continuidad del servicio
- DS5 Garantizar la seguridad de los sistemas
- DS6 Identificar y asignar costos
- DS7 Educar y entrenar a los usuarios
- DS8 Administrar la mesa de servicio y los incidentes
- DS9 Administrar la configuracin
- DS10 Administrar los problemas
- DS11 Administrar los datos
- DS12 Administrar el ambiente fsico
- DS13 Administrar las operaciones
1.- DS1 DEFINIR Y ADMINISTRAR NIVELES DE SERVICIO:

DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los niveles de servicio
e Parcialment
No cumple
Cumple
La gerencia no reconoce la necesidad de un proceso

Nivel 0
para definir los niveles de un servicio. La X

responsabilidad y la rendicin de cuentas sobre el
monitoreo no est asignada.
37
Hay conciencia de la necesidad de administrar los
Nivel 5 Nivel 4 Nivel 3 Nivel 2 Nivel 1
niveles de servicio, pero el proceso es informal y X

reactivo. La responsabilidad y la rendicin de cuentas
sobre para la de
Los niveles definicin
servicioy la administracin
estn acordados,depero
servicios
son
informales y no estn revisados. Los reportes de los X
niveles de servicio estn incompletos y pueden ser
irrelevantes o engaados
Las responsabilidades para definidas,
estn bien los clientes. Los
pero con GRADO DE MADUREZ. - El
autoridad discrecional. El proceso de desarrollo del X proceso de definir y administrar
acuerdo de niveles de servicio est en orden y cuenta los niveles de servicio, se
con puntos de control para revalorar los niveles de encuentran en el nivel 3.
- RECOMENDACIONES DS1
COBIT establece para el proceso DS1 la necesidad de cumplir con los
1. Marco de Trabajo de la Administracin de los Niveles de Servicio
2. Definicin de Servicios
3. Acuerdos de Niveles de Servicio
4. Acuerdos de Niveles de Operacin
5. Monitoreo y Reporte del Cumplimento de los Niveles de Servicio
6. Revisin delos Acuerdos de Niveles de Servicio y delos Contratos

grado de madurez superior, por esto para que el proceso DS1

proceso estndar para los niveles de servicio, adems que las deficiencias
en los niveles de servicio sean identificadas y los procedimientos para
resolver las deficiencias sean formales.

Es recomendable que la Empresa Software y Sistemas del Per posea
definiciones base de los servicios de TI sobre las caractersticas del servicio
y los requerimientos de negocio, defina y acuerde convenios de niveles de
servicio para todos los procesos crticos de TI con base en los
requerimientos del cliente y las capacidades en TI. Asegure que los
acuerdos de niveles de operacin expliquen cmo sern entregados
tcnicamente los servicios para soportar el (los) SLA(s) de manera ptima.
Los OLAs especifican los procesos tcnicos en trminos entendibles para el
38
proveedor y pueden soportar diversos SLAs. Monitorear continuamente los
criterios de desempeo especificados para el nivel de servicio y revise
regularmente con los proveedores internos y externos los acuerdos de
niveles de servicio y los contratos de apoyo.
39
2.- DS2 ADMINISTRAR SERVICIOS DE TERCEROS:
DS2: Administrar los servicios de terceros
e Parcialment
No cumple
Cumple
Las responsabilidades y rendicin de cuentas no estn

definidas. No hay poltica y procedimientos formales X

respecto a la contratacin con terceros. Los servicios
de terceros no
estson ni aprobados
de laniimportancia
revisados por la
La gerencia consciente de la
necesidad de tener polticas y procedimientos X
documentados por la administracin de los servicios de
terceros,
El procesoincluyendo la firmadedelos
de supervisin contratos. No hay
proveedores de
servicio de terceros, de los riesgos con trminos y X
condiciones estndares del proveedor (por ejemplo, la
descripcin de servicios
Hay procedimientos bienque ser prestaran)por controlar
documentados GRADO DE MADUREZ. -El
los servicios de terceros con procesos claros para X proceso de Administrar los
tratar y negociar con proveedores. Cuando se hace un servicios de terceros, se
acuerdo de prestacin de servicios, la relacin con encuentra en el nivel 3.
1. Identificacin de Todas las Relaciones con Proveedores
2. Gestin de Relaciones con Proveedores
3. Administracin de Riesgos del Proveedor
4. Monitoreo del Desempeo del Proveedor

Es recomendable que la Empresa Software y Sistemas del Per identifique
todos los servicios de los proveedores, y categorizar los de acuerdo al tipo
de proveedor, significado y criticidad. Mantenga documentacin formal de
relaciones tcnicas y organizacionales que cubren los roles y
responsabilidades, metas, entregables esperados, y credencial es de los
representantes de estos proveedores.
40
Es recomendable que la Empresa Software y Sistemas del Per formalice
el proceso de gestin de relaciones con proveedores para cada proveedor.
Identifique y reduzca los riesgos relacionados con la habilidad de los
proveedores para mantener un efectivo servicio de entrega de forma segura
y eficiente sobre una base de continuidad y establezca un proceso para
monitorear la prestacin del servicio para asegurar que el proveedor est
cumpliendo con los requerimientos del negocio actuales y que se adhiere
continuamente a los acuerdos del contrato y a SLAs, y que el desempeo es
competitivo con proveedores alternativos y las condiciones del mercado.
41
3.- DS3 ADMINISTRAR DESEMPEO Y CAPACIDAD:
DS3: Administrar desempeo y capacidad
e Parcialment
No cumple
Cumple
La gerencia no reconoce que los procesos clave del

negocio pueden requerir altos niveles de desempeo X

de TI o que el total de los requerimientos de servicios
de
LosTIusuarios,
del negocio
con pueden exceder la que
capacidad. No se
frecuencia tienen llevar acabo
soluciones alternas para resolver las limitaciones de X
desempeo y capacidad. Los responsables de los
procesos del negocio
Los responsables valorany la
del negocio poco la necesidad
gerencia de
de TI estn
conscientes del impacto de no administrar el X
desempeo y la capacidad. Las necesidades de
desarrollo se logran por lo general con base en GRADO DE MADUREZ. - El
X proceso de Administrar el
Los requerimientos de desempeo y capacidad estn desempeo y la capacidad se
definidos al largo del ciclo de una vida del sistema. Hay encuentra en el nivel 3.
1. Planeacin del Desempeo y la Capacidad
2. Capacidad y Desempeo Actual
3. Capacidad y Desempeo Futuros
4. Disponibilidad de Recursos de TI
5. Monitoreo y Reporte

Es recomendable que la Empresa Software y Sistemas del Per lleve a
cabo una planeacin del desempeo y la capacidad de las TI, y esta
planeacin de desempeo y capacidad ese definida a lo largo del ciclo de
vida del sistema. Que existan mtricas y requerimientos de niveles de
servicio bien definidos, que pueden utilizarse para medir el desempeo
operacional, lo cual le permitir ir controlando el desempeo que hay en la
empresa.
42
Es recomendable que la Empresa Software y Sistemas del Per revise la
capacidad y desempeo actual de los recursos de TI, tambin se
recomienda llevar acabo un pronstico de desempeo y capacidad de los
recursos de TI en intervalos regulares para minimizar el riesgo de
interrupciones del servicio originadas por falta de capacidad o degradacin
del desempeo. Brinde la capacidad y desempeo requeridos tomando en
cuenta aspectos como cargas de trabajo normales, contingencias,
requerimientos de almacenamiento y ciclos de vida de los recursos de TI y
se monitore continuamente el desempeo y la capacidad de los recursos
de TI.
43
4.- DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO:
DS4: Garantizar la Continuidad del Servicio
e Parcialment
No cumple
Cumple
No hay entendimiento de los riesgos, vulnerabilidades

y amenazas a las operaciones de TI o del impacto en el X

negocio por perdida de los servicios de TI. No se
considera que la continuidad en los servicios deba GRADO DE MADUREZ. -El
X proceso de garantizar la
Las responsabilidades sobre la continuidad de los continuidad del servicio se
servicios son informales y la autoridad para ejecutar encuentra en el nivel 1.
1. Marco de Referencia para Continuidad (recuperacin en caso de
desastres) de TI
2. Estrategia y Filosofa del Plan de Continuidad de TI
3. Contenido del Plan de Continuidad de TI
4. Reduccin de los Requerimientos de la Continuidad de TI
5. Mantenimiento del Plan de Continuidad de TI
6. Prueba del Plan de Continuidad de TI
7. Capacitacin para el Plan de Continuidad de TI
8. Distribucin del Plan de Continuidad de TI
9. Procedimientos de Respaldo del Procesamiento Alterno en el
Departamento Usuario
10. Recursos crticos de TI
11. Respaldo del Sitio y del Hardware
12. Almacenamiento de respaldos en el sitio alterno
13. Procedimientos de Involucramiento
44
asignen responsabilidades de manera formal para mantener el servicio,
para ello la gerencia debe enfocarse ms en los servicios de TI que se
prestan.

Contar con un plan de continuidad de TI el cual se encuentra integrado al
plan de continuidad del negocio, el mismo que debe considerar
procedimientos alternativos en caso de ocurrir algn evento inesperado,
polticas y procedimientos del servicio de la informacin relacionadas con:
respaldos, plan de pruebas y entrenamiento de recuperacin de desastres.
As tambin se debe asignar responsabilidades para el manejo de la
informacin respaldada y su administracin, ya sea dentro, como fuera de la
empresa, adems de asegurarse de que exista compatibilidad del hardware
y software para recuperar los datos archivados.
45
5.- DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS:
DS5: Garantizar la Seguridad de los Sistemas
e Parcialment
No cumple
Cumple
GRADO DE MADUREZ. -El

La organizacin no reconoce la necesidad de la X proceso de garantizar la

seguridad para TI. Las responsabilidades y la rendicin seguridad de los sistemas de TI
de cuentas no estn asignadas para garantizar la se encuentran en el nivel 0.
1. Administracin de la Seguridad de TI
2. Plan de Seguridad de TI
3. Administracin de Identidad
4. Administracin de Cuentas del Usuario
5. Pruebas, Vigilancia y Monitoreo de la Seguridad
6. Definicin de Incidente de Seguridad
7. Proteccin de la Tecnologa de Seguridad
8. Administracin de Llaves Criptogrficas
9. Prevencin, Deteccin y Correccin de Software Malicioso
10. Seguridad de la Red
11. Intercambio de Datos Sensitivos

46
realicen reportes de seguridad de TI, para medir el nivel de seguridad de TI.
Adems de contar con procesos para las violaciones de seguridad de TI.

realicen controles de acceso a los sistemas, datos y aplicaciones
comprobando que estn restringidos solo para el personal autorizado,
considerando las autorizaciones, autenticaciones y acceso lgico al igual
que el uso de recursos de TI, los cuales deben ser restringidos a travs de
mecanismos basados en reglas de acceso, la identificacin de usuarios y
perfiles de autorizacin deben implementar procedimientos y protocolos con
el fin de asegurar la proteccin de las mismas. Se debe lleva un manejo,
reporte y seguimiento de los incidentes para su respectiva solucin. Se debe
llevar un control de las claves criptografas. Se debe tener un control
preventivo, detectivo y correctivo para la prevencin y deteccin de virus,
mediante la utilizacin de sus herramientas respectivas Adems del
respectivo control al firewalll que se debe tener implementado dentro de la
empresa.
6.- DS6 IDENTIFICAR Y ASIGNAR COSTOS:

47
DS6: Identificar y asignar costos
e Parcialment
No cumple
Cumple
Hay una completa falta de cualquier proceso

reconocible de identificacin y distribucin de costos X

en relacin a los servicios de informacin brindados. La
organizacin no reconoce inclusodeque
loshay un problema
Hay un entendimiento general costos globales GRADO DE MADUREZ. - El
de los servicios de informacin, pero no hay una X proceso identificar y asignar
distribucin de costos por usuario, cliente, costos se encuentran en el nivel
departamentos, grupos de usuarios, funciones de 1.
1. Definicin de Servicios
2. Contabilizacin de TI
3. Modelacin de Costos y Cargos
4. Mantenimiento del Modelo de Costos

Es recomendable que en la Empresa Software y Sistemas del Per la
distribucin de costos de TI debe realizarse como un costo fijo de operacin,
es decir el departamento de sistemas deber tener asignado ya un
presupuesto.

Que los recursos sean identificables y medibles para los usuarios. Que los
procedimientos y polticas permitan llevar un uso apropiado de los recursos
48
de TI. Los procesos de tarifas de cargos y rembolso de cargos deban ser
analizados, monitoreados, evaluados para tener las cuentas claras dentro de
la empresa. Que exista un enlace con los acuerdos de nivel de servicio,
reportes automatizados, adems de una verificacin del reconocimiento de
beneficios y por ltimo que se realice un benchmarking externo con otras
organizaciones similares o con estndares internacionales reconocidos como
mejores prcticas, para optimizar la asignacin de los costos, mejorando de
forma continua dicho proceso.
49
7.- DS7 EDUCAR Y ENTRENAR A LOS USUARIOS:
DS7: Educar y entrenar a los usuarios
e Parcialment
No cumple
Cumple
GRADO DE MADUREZ. - El
X proceso de educar y entrenar a

los usuarios, se encuentra en el
nivel 0.
1. Identificacin de Necesidades de Entrenamiento y Educacin
2. Imparticin de Entrenamiento y Educacin
3. Evaluacin del Entrenamiento Recibido

Es recomendable que la empresa Software y Sistemas del Per organice
programas de entrenamiento y educacin, con procedimientos
estandarizados, los cursos de entrenamiento deben abordar temas de
conducta tica, conciencia sobre la seguridad en los sistemas y prcticas de
seguridad.

50
Es recomendable que la empresa Software y Sistemas del Per utilice las
TI de forma ptima para automatizar y brindar herramientas dentro de los
programas de entrenamiento. Deben realizarse campaas de
concientizacin, mediante la identificacin y asignacin de entrenadores
empleando tcnicas de concientizacin. Tambin es recomendable buscar
alternativas para mejorar la productividad del personal dentro de la
empresa mediante el monitoreo. Realizar una actualizacin de los
programas de entrenamiento y de los procesos que se emplean para
afinarlos de forma continua, fomentando las mejores prcticas tanto
internas como externas.
51
8.- DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES:
DS8: Administrar la Mesa de Servicio y los Incidentes
e Parcialment
No cumple
Cumple
No hay soporte para resolver problemas y preguntas

de los usuarios. Hay una completa falta de procesos X

para la administracin de incidentes. La organizacin
no
La reconoce
gerenciaque hay un problema que atender.
reconoce que requiere un proceso
soportado por herramientas y personal para responder X
a las consultas de los usuarios y administrar la
resolucin de incidentes.
Hay conciencia Sin embargo,
organizacional se tratade
de la necesidad deuna
un
funcin de mesa de servicio y de un proceso de X
administracin de incidentes. Existe ayuda disponible
de
Haymanera informal
conciencia a travs de
organizacional deuna red de individuos
la necesidad de una
funcin de mesa de servicio y de un proceso de X
administracin de incidentes. Existe ayuda disponible
de
En manera informal
todos los nivelesa de
travs de una red de
la organizacin hayindividuos
un total Grado de madurez: El proceso
entendimiento de los beneficios de un proceso de X de Administrar la mesa de
administracin de incidentes y la funcin de mesa de servicio y los incidentes, se
servicio se ha establecido en las unidades encuentra en el nivel 4.
1. Mesa de Servicios
2. Registro de Consultas de Clientes
3. Escalamiento de Incidentes
4. Cierre de Incidentes
5. Anlisis de Tendencias

Es recomendable que la empresa Software y Sistemas del Per posea

herramientas y tcnicas automatizadas con una base de conocimientos
centralizada. Para la solucin de incidentes de los usuarios en los cuales se
52
tenga la intervencin automatizada y centralizada. Adems, la gerencia
debe desarrollado los KPIs y KGIs para el desempeo de la mesa de servicio.

Es recomendable que la empresa Software y Sistemas del Per establezca
procedimientos de mesa de servicios de manera que los incidentes que no
puedan resolverse de forma inmediata sean escalados apropiadamente de
acuerdo con los lmites acordados en el SLA y, si es adecuado, brindar
soluciones alternas. Establezca procedimientos para el monitoreo puntual
dela resolucin de consultas de los clientes y emita reportes de la actividad
de la mesa de servicios para permitir a la gerencia medir el desempeo del
servicio y los tiempos de respuesta.
53
9.- DS9 ADMINISTRAR LA CONFIGURACIN:
DS9: Administrar la Configuracin
e Parcialment
No cumple
Cumple
La gerencia no valora los beneficios de tener un

proceso implementado que sea capaz de reportar y X

administrar las configuraciones de la infraestructura de
TI,
Se tanto para configuraciones
la necesidad de de hardware comounade
reconoce contar con
administracin de configuracin. Se llevan a cabo X
tareas bsicas de administracin de configuraciones,
tales como mantener inventarios de hardware y Grado de madurez: El proceso
X de Administrar la configuracin,
Hay conciencia organizacional de la necesidad de una se encuentra en el nivel 2.
funcin de mesa de servicio y de un proceso de Objetivos no cumplidos: La

1. Repositorio y Lnea Base de Configuracin
2. Identificacin y Mantenimiento de Elementos de Configuracin
3. Revisin de Integridad dela Configuracin

Es recomendable que la empresa Software y Sistemas del Per posea
ayuda disponible de manera formal que todo el personal lo sepa. Y todos los
individuos tengan a su disposicin herramientas comunes para ayudar en la
resolucin de incidentes. Es recomendable que se tenga un entrenamiento
54
formal y la comunicacin sobre procedimientos sea estndar y la
responsabilidad no sea delegada a un solo individuo.

Es recomendable que la empresa Software y Sistemas del Per revise
peridicamente los datos de configuracin para verificar y confirmar la
integridad de la configuracin actual e histrica, tambin revise
peridicamente el software instalado contra la poltica de uso de software
para identificar software personal o no licenciado o cualquier otra instancia
de software en exceso del contrato de licenciamiento actual. Reportar,
actuar y corregir errores y desviaciones.
55
10.- DS10 ADMINISTRAR LOS PROBLEMAS:
DS10: Administrar los problemas
e Parcialment
No cumple
Cumple
No hay conciencia sobre la necesidad de administrar

problemas, y no hay diferencia entre problemas e X

incidentes. Por lo tanto no se han hecho intentos por
identificar la causa raz de la
losnecesidad
incidentes.de administrar
Los individuos reconocen
los problemas y e revolver las causas de fondo. X
Algunos individuos expertos clave brindan asesora
sobre los de
El proceso problemas relacionados
administracin a suy larea
de incidentes de
funcin Grado de madurez: El proceso
de mesa estn bien organizados y establecidos y se X de Administrar los problemas, se
llevan a cabo con un enfoque de servicio al cliente ya encuentra en el nivel 2.
que son expertos, enfocados al cliente y tiles. Los Objetivos no cumplidos: En la
1. Identificacin y Clasificacin de Problemas
2. Rastreo y Resolucin de Problemas
3. Cierre de Problemas
4. Integracin de las Administraciones de Cambios, Configuracin y
Problemas

Es recomendable que la empresa Software y Sistemas del Per maneje
KPIs y KGIs para el control de incidentes y una base de conocimientos con
las preguntas frecuentes. Los procesos debern ser afinados al nivel de las
mejores prcticas de la industria, con base en los resultados del anlisis de
los KPIs y KGIs.
56
El sistema de administracin de problemas de la Empresa Software y
Sistemas del Per debe mantener pistas de auditora adecuadas que
permitan rastrear, analizar y determinar la causa raz de todos los
problemas reportados considerando:
Todos los elementos de configuracin asociados
Problemas e incidentes sobresalientes
Error es conocidos y sospechados
Seguimiento de las tendencias de los problemas.
Identificar e iniciar soluciones sostenibles indicando la causa raz,

incrementando las solicitudes de cambio por medio del proceso de
administracin de cambios establecido. Disponer de un procedimiento para
cerrar registros de problemas ya sea despus de confirmarla eliminacin
exitosa del error conocido o despus de acordar con el negocio cmo
manejar el problema de manera alternativa y para garantizar una adecuada
administracin de problemas e incidentes, integrar los procesos relacionado
de administracin de cambios, configuracin y problemas.
57
11.- DS11 ADMINISTRAR LOS DATOS:
DS11: Administrar los datos
e Parcialment
No cumple
Cumple
Los datos no son reconocidos como parte de los

recursos y los activos de la empresa. No est asignada X

la propiedad sobre los datos o sobre la rendicin de
cuentas individual sobre la administracin de los datos. GRADO DE MADUREZ. - El
La organizacin reconoce la necesidad de una correcta X proceso de Administracin de
administracin de los datos. Hay un mtodo adecuado Datos, se encuentra en el nivel
para especificar requerimientos de seguridad en la 1.
1. Requerimientos del Negocio para Administracin de Datos
2. Acuerdos de Almacenamiento y Conservacin
3. Sistema de Administracin de Libreras de Medios
4. Eliminacin
5. Respaldo y Restauracin
6. Requerimientos de Seguridad para la Administracin de Datos

Es recomendable que la empresa Software y Sistemas del Per defina e
implemente procedimientos para el archivo, almacenamiento y retencin de
los datos, de forma efectiva y eficiente para mantener los objetivos de
58
negocio, la poltica de seguridad de la organizacin y los requerimientos
regulatorios.

Definir e implementar procedimientos para mantener un inventario de

medios almacenados y archivados para asegurar su usabilidad e
integridad.
Definir e implementar procedimientos para asegurar que los
requerimientos de negocio para la proteccin de datos sensitivos y el
software se consiguen cuando se eliminan o transfieren los datos y/o el
hardware.
Definir e implementar procedimientos de respaldo y restauracin de los
sistemas, aplicaciones, datos y documentacin en lnea con los
requerimientos de negocio y el plan de continuidad.
Definir e implementar las polticas y procedimientos para identificar y
aplicar los requerimientos de seguridad aplicables al recibo,
procesamiento, almacn y salida de los datos para conseguir los
objetivos de negocio.
59
12.- DS12 ADMINISTRAR EL AMBIENTE FSICO:
DS12: Administrar el ambiente fsico
e Parcialment
No cumple
Cumple
No hay conciencia sobre la necesidad de proteger las

instalaciones o la inversin en recursos de cmputo. X

Los factores ambientales tales como proteccin contra
fuego, polvo, tierra, y exceso
la de calor y humedad
de contarnocon
se
La organizacin reconoce necesidad
un ambiente fsico que proteja los recursos y el X
personal contra peligros naturales y causados por el
hombre. La administracin de instalaciones y de GRADO DE MADUREZ. -El
Los controles ambientales se implementan y X proceso de Administracin del
monitorean por parte del personal de operaciones. La ambiente fsico, se encuentra en
seguridad fsica es un proceso informal, realizado por el nivel 2.

1. Seleccin y Diseo del Centro de Datos
2. Medidas de Seguridad Fsica
3. Acceso Fsico
4. Proteccin Contra Factores Ambientales
5. Administracin de Instalaciones Fsicas

Es recomendable que la empresa Software y Sistemas del Per establezca
procedimientos de mantenimiento de instalaciones bien documentados, fijar
sus metas de seguridad fsica en base a estndares formales asegurando
60
que se cumplan los objetivos de seguridad y definir reas adecuadas para
las reas ms crticas, como las de los servidores.

Implementar mecanismos de control estandarizados para la restriccin de
accesos a instalaciones. Definir estndares para todas las instalaciones
incluyendo la seleccin del sitio para centro de cmputo, sistemas elctricos
y mecnicos, proteccin contra factores ambientales. Establecer polticas de
inspeccin de las instalaciones fsicas. Establecer programas de
mantenimiento preventivo y pruebas regulares a los equipos sensibles los
cuales deben estar bien calendarizados. Alinear las estrategias de
instalaciones y de estndares con las metas de disponibilidad del servicio de
TI, y de igual forma deben ser integrados con la administracin de crisis y la
planeacin de la continuidad del negocio. La gerencia debe revisar y
optimizar las instalaciones en base a los indicadores claves de desempeo y
objetivos de manera continua, contribuyendo al mejoramiento continuo de
la empresa.
61
13.- DS13 ADMINISTRAR LAS OPERACIONES:
DS13: Administrar las operaciones
e Parcialment
No cumple
Cumple
La organizacin no dedica tiempo y recursos al

establecimiento de soporte bsico de TI y actividades X

operativas.
La organizacin reconoce la necesidad de estructuras GRADO DE MADUREZ. - El
las funciones de soporte de TI. Se establecen algunos X proceso de Administracin de
procedimientos, estndares y actividades de Operaciones se encuentra en el
operaciones son de naturaleza reactiva. La mayora de nivel 1.
1. Procedimientos e Instrucciones de Operacin
2. Programacin de Tareas
3. Monitoreo de la Infraestructura de TI
4. Documentos Sensitivos y Dispositivos de Salida
5. Mantenimiento Preventivo del Hardware

Es recomendable que la empresa Software y Sistemas del Per cuente con
procedimientos estandarizados para la administracin de operaciones y las
actividades de operaciones sean realizadas mediante un Plan documentado,
tambin que en la empresa los empleados no tengan que esperar recursos
de TI para continuar con sus operaciones, sino que cada uno posea sus
propios recursos para que de esta manera no ocasionen demora en el
desarrollo de la entrega del servicio.
62
Estandarizar y documentar los procesos de administracin de

operaciones de TI incluidas las administraciones de red, los cuales deben
estar sujetos a una mejora continua.
Automatizar los procesos los cuales contribuyen a mantener un ambiente
estable dentro de la empresa.
Realizar reuniones peridicas con las personas responsables de la
administracin de cambios garantizar la publicacin oportuna de los
cambios.
Mantener un programa de actividades de personal y carga de trabajo.
Llevar un registro de eventos de sistemas.
Mantener acuerdos de nivel de servicio. Llevar un registro, seguimiento y
escalamiento de incidentes.
63
MONITOREAR Y EVALUAR (ME)
- ME1 Monitorear y evaluar el desempeo de TI

- ME2 Monitorear y evaluar el control interno
- ME3 Garantizar cumplimiento regulatorio
- ME4 Proporcionar gobierno de TI
64
1.- ME1 MONITOREAR Y EVALUAR EL DESEMPEO DE TI:
DOMINIO: MONITOREAR Y EVALUAR
ME1: Monitorear y Evaluar el Desempeo de TI
e Parcialment
No cumple
Cumple
La organizacin no cuenta con un proceso implantado

de monitoreo. TI no lleva a cabo monitoreo de X

proyectos o procesos de forma independiente. No se
cuenta con reportes
reconocetiles, oportunosde
y precisos.
La gerencia una necesidad recolectarLa
y
evaluar informacin sobre los procesos de monitoreo. X
No se han identificado procesos estndar de
recoleccin y evaluacin.
Se han identificado El mediciones
algunas monitoreo se implanta
bsicas y
a ser
monitoreadas. Los mtodos y las tcnicas de X
recoleccin y evaluacin existen, pero los procesos no
se han adoptado
La gerencia en toda e la
ha comunicado organizacin.
institucionalizado La
un Grado de madurez: El proceso
proceso estndar de monitoreo. Se han implantado X de Monitorear y Evaluar el
programas educacionales y de entrenamiento para el Desempeo de TI se encuentra
monitoreo. Se ha desarrollado una base de en el nivel 3.
- RECOMENDACIONES ME1
COBIT establece para el proceso ME1 la necesidad de cumplir con los

1. Enfoque del Monitoreo
2. Definicin y Recoleccin de Datos de Monitoreo
3. Mtodo de Monitoreo
4. Evaluacin del Desempeo
5. Reportes al Consejo Directivo y a Ejecutivos
6. Acciones Correctivas

grado de madurez superior, por esto para que el proceso ME1
65
Es recomendable que la Gerencia Software y Sistemas del Per comunique
e institucionalice un proceso estndar de monitoreo. Adems, que la
Empresa implante programas educacionales y de entrenamiento para el
monitoreo. Desarrolle una base de conocimiento formalizada del desempeo
histrico. Las evaluaciones a nivel de procesos y proyectos de TI sean
realizadas en forma integrada.

a) Es recomendable que la empresa Software y Sistemas del Per

trabaje con el negocio para definir un conjunto balanceado de
objetivos de desempeo y tener los aprobados por el negocio y otros
interesados relevantes.
b) Garantice que el proceso de monitoreo implante un mtodo, Compare

de forma peridica el desempeo contra las metas y Proporcione
reportes administrativos para ser revisados por la alta direccin sobre
el avance de la organizacin hacia metas identificadas.
66
2.- ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO:
ME2: Monitorear y Evaluar el Control Interno
e Parcialment
No cumple
Cumple
La organizacin carece de procedimientos para

monitorear la efectividad de los controles internos. Los X

mtodos de reporte de control interno gerenciales no
existen. Existe una falta generalizada
de de conciencia
La gerencia reconoce la necesidad administrar y Grado de madurez: El proceso
asegurar el control de TI de forma regular. La X de Monitorear y Evaluar el
experiencia individual para evaluar la suficiencia del Control Interno, se encuentra en
control interno se aplica de forma ad hoc. La gerencia el nivel 1.

1. Monitoreo del Marco de Trabajo de Control Interno

2. Revisiones de Auditora
3. Excepciones de Control
4. Control de Auto Evaluacin
5. Aseguramiento del Control Interno
6. Control Interno para Terceros
7. Acciones Correctivas

67
Es recomendable que la Gerencia de Software y Sistemas del Per asigne

de manera formal las responsabilidades para monitorear la efectividad de
los controles internos. Las evaluaciones de control interno de TI se deben
realizara un nivel mayor que como parte de las auditoras financieras
tradicionales, con metodologas y habilidades que no reflejan las
necesidades de la funcin de los servicios de informacin.


identifique las excepciones de control, y analizar e identificar sus
causas races subyacentes. Escale las excepciones de control y
reportar a los interesados apropiadamente y evalu la completitud y
efectividad de los controles de gerencia sobre los procesos, polticas y
contratos de TI promedio de un programa continuo de auto-
evaluacin.
b) Finalmente se recomienda que se obtenga segn sea necesario,

aseguramiento adicional de la completitud y efectividad de los
controles internos por medio de revisiones de terceros y evalu el
estado de los controles internos de los proveedores de servicios
externos.
3.- ME3 GARANTIZAR CUMPLIMIENTO REGULATORIO:

ME3: Garantizar el Cumplimiento con Requerimientos Externos
68
e Parcialment
No cumple
Cumple
Existe poca conciencia respecto a los requerimientos

externos que afectan a TI, sin procesos referentes al X

cumplimiento de requisitos regulatorios, legales y
contractuales.
Existe conciencia de los requisitos de cumplimiento Grado de madurez: El proceso
regulatorio, contractual y legal que tienen impacto en X de Garantizar el Cumplimiento
la organizacin. Se siguen procesos informales para con Requerimientos Externos, se
mantener el cumplimiento, pero solo si la necesidad encuentra en el nivel 1.

1. Identificarlos Requerimientos de las Leyes, Regulaciones y Cumplimientos

Contractuales
2. Optimizar la Respuesta a Requerimientos Externos
3. Evaluacin del Cumplimiento con Requerimientos Externos
4. Aseguramiento Positivo del Cumplimiento
5. Reportes Integrados

69
Es recomendable que la empresa Software y Sistemas del Per identifique,
sobre una base continua, leyes locales e internacionales, regulaciones, y
otros requerimientos externos que se deben de cumplir para incorporar en
las polticas, estndares, procedimientos y metodologas de TI dela
organizacin.


revise y ajuste las polticas, estndares, procedimientos y
metodologas de TI para garantizar que los requisitos legales,
regulatorios y contractuales son direccionados y comunicados, en la
Empresa se debern confirmar el cumplimiento de polticas,
estndares, procedimientos y metodologas de TI con requerimientos
legales y regulatorios.
b) Obtener y reportar garanta de cumplimiento y adhesin a todas las

polticas internas derivadas de directivas internas o requerimientos
legal es externos, regulatorios o contractuales, finalmente obtener y
reportar garanta de cumplimiento y adhesin a todas las polticas
internas derivadas de directivas internas o requerimientos legales
externos, regulatorios o contractuales.
70
4.- ME4 PROPORCIONAR GOBIERNO DE TI:
ME4: Proporcionar Gobierno de TI
e Parcialment
No cumple
Cumple
Existe una carencia completa de cualquier proceso

reconocible de gobierno de TI. La organizacin ni X

siquiera ha reconocido que existe un problema a
resolver; por lo tanto, no existe comunicacin
Se reconoce que el tema del gobierno de TI respecto
existe y
que debe ser resuelto. Existen enfoques ad hoc X
aplicados individualmente o caso por caso. El enfoque
de la una
Existe gerencia es reactivo
conciencia y solamente
sobre los existe una
temas de gobierno de
TI. Las actividades y los indicadores de desempeo del X
gobierno de TI, los cuales incluyen procesos
planeacin,
La importanciaentrega y supervisin
y la necesidad de TI, estn
de un gobierno de TI en
se Grado de madurez: El proceso
reconocen por parte de la gerencia y se comunican a la X de Proporcionar Gobierno de TI,
organizacin. Un conjunto de indicadores base de se encuentra en el nivel 3.
gobierno de TI se elaboran donde se definen y Objetivos no cumplidos: En la

1. Establecimiento de un Marco de Gobierno de TI

2. Alineamiento Estratgico
3. Entrega de Valor
4. Administracin de Recursos
5. Administracin de Riesgos
6. Medicin del Desempeo
7. Aseguramiento Independiente

71
Es recomendable que la empresa Software y Sistemas del Per posea un
conjunto de indicadores base de gobierno de TI, se definen y documentan
los vnculos entre las mediciones de resultados y los impulsores del
desempeo. Adems, que los procedimientos sean estandarizados y
documentados, que sean comunicados y se posea herramientas de apoyo
con personal capacitado.

a) Facilitar el entendimiento del consejo directivo y de los ejecutivos
sobre temas estratgicos de TI tales como el rol de TI.
b) Administrar los programas de inversin habilitados con TI, as como
otros activos y servicios de TI.
c) Revisar inversin, uso y asignacin de los activos de TI por medio de
evaluaciones peridicas de las iniciativas y operaciones de TI.
d) Trabajar con el consejo directivo para definir el nivel de riesgo de TI
aceptable por la empresa y obtener garanta razonable que las
prcticas de administracin de riesgos de TI.
e) Confirmar que los objetivos de TI confirmados se han conseguido o
excedido.
72

Trabajo Final COBIT

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Trabajo Final COBIT

Caricato da

Copyright:

Formati disponibili

Ao del Buen Servicio al Ciudadano

San Juan Iquitos Per

Mediante la realizacin de una Auditora se evala la eficiencia y

Por lo tanto, conforme lo establece el marco de referencia de COBIT,

Fase 1.- Anlisis de la Situacin Actual del Departamento de

En esta fase se realizar una recopilacin de la informacin del

Esta informacin recopilada, una vez que sea analizada permitir

Fase 2.- Realizacin de la Auditora

Se proceder a realizar encuestas a un equipo multidisciplinario y de

Estas encuestas permitirn determinar el grado de madurez de cada

Por esto se emitirn las recomendaciones para el ascenso de los

Fase 3.- Informe preliminar

Fase 4.- Informes finales

II. Uso de las guas de auditora del modelo

PLANEAR Y ORGANIZAR (PO)

- PO1 Definir el plan estratgico de TI.

1.- PO1 DEFINIR EL PLAN ESTRATGICO DE TI:

Niveles de los modelos madurez Observaciones

No se realiza una planeacin estratgica de TI. No est

consiente la Gerencia de que la planeacin estratgica X

El objetivo primordial de un modelo de madurez es el ascender a un

Es recomendable que la Gerencia de TI de la Empresa Software y Sistemas

Como estrategia a mediano plazo se recomienda que se tome en

Es recomendable que la Empresa Software y Sistemas del Per SAC defina

No existe conciencia de la importancia de la

arquitectura de la informacin para la organizacin. El X

1. Modelo de Arquitectura de Informacin Empresarial.

Es recomendable que la Empresa Software y Sistemas del Per SAC

Como estrategia a mediano plazo se recomienda que se tome en

Es recomendable que la Empresa Software y Sistemas del Per SAC

3.- PO3 DETERMINACIN DE LA DIRECCIN TECNOLGICA

No existe conciencia sobre la importancia de la

planeacin de la infraestructura tecnolgica para la X

1. Planeacin de la Direccin Tecnolgica.

El objetivo primordial de un modelo de madurez es el ascender a un

Como estrategia a mediano plazo se recomienda que se tome en

4.- PO4 DEFINIR PROCESOS, ORGANIZACIN Y RELACIONES

Niveles de los modelos madurez Observaciones

La organizacin de TI no est establecida de forma

forma tctica, aunque de forma inconsistente, a las X proceso de definir procesos,

1. Marco de Trabajo de Procesos de TI.

El objetivo primordial de un modelo de madurez es el ascender a un

Es recomendable que en la empresa Software y Sistemas del Per SAC las

Como estrategia a largo plazo se recomienda que se tome en

Es recomendable que la Empresa Software y Sistemas del Per SAC

5.- PO5 ADMINISTRAR LA INVERSIN EN TI

Niveles de los modelos madurez Observaciones

No hay conciencia de la importancia de la seleccin y

inversin de TI son razonablemente correctos y X

1. Marco de Trabajo para la Administracin Financiera

El objetivo primordial de un modelo de madurez es el ascender a un

Es recomendable que la Empresa

6.- PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE

La gerencia de TI no ha establecido un entorno positivo

de control de la informacin. No hay reconocimiento de X

1. Ambiente de Polticas y de Control

El objetivo primordial de un modelo de madurez es el ascender a un

Es recomendable que la Empresa Software y Sistemas del Per SAC

Como estrategia a mediano plazo se recomienda que se tome en

Es recomendable que la Empresa Software y Sistemas del Per SAC se

7.- PO7 ADMINISTRAR RECURSOS HUMANOS DE TI

Niveles de los modelos madurez Observaciones

No existe conciencia sobre la importancia de alinear la

administracin de recursos humanos de TI con el X