Matriz de Calificación

Transcripción

1 SUPERINTENDENCIA GENERAL DE ENTIDADES FINANCIERAS CERTIFICADA CON ISO / 2008 Información General P01- Definir un Plan Estratégico de TI PO2- Definir la Arquitectura de la Información PO3-Determinar la Dirección Tecnológica PO4- Definir los procesos, la Organización y las Relaciones de TI PO5- Administrar la Inversión en TI PO6-Comunicar los Objetivos y Dirección de la Gerencia PO7- Administrar los Recursos Humanos de TI PO8- Administrar la Calidad PO9- Evaluar y Administrar los Riesgos de TI PO10- Administrar Proyectos AI1- Identificar Soluciones Automatizadas AI2- Adquirir y Mantener Software de Aplicación AI3- Adquirir y Mantener Infraestructura Tecnológica AI4- Habilitar la Operación y el Uso AI5- Adquirir Recursos de TI AI6- Administrar Cambios AI7- Instalar y Acreditar Soluciones y Cambios DS1- Definir y Administrar los Niveles de Servicio DS2- Administrar los Servicios de Terceros DS3- Administrar el Desempeño y la Capacidad DS4- Garantizar la Continuidad del Servicio DS5- Garantizar la Seguridad de los Sistemas DS6- Identificar y Asignar Costos DS7- Educar y Capacitar a los Usuarios DS8- Administrar el Escritorio de Servicio y los Incidentes DS9- Administrar la Configuración DS10- Administración de Problemas DS11- Administración de Datos DS12- Administración del Ambiente Físico DS13- Administración de Operaciones ME1- Monitorear y Evaluar el Desempeño de TI ME2- Monitorear y Evaluar el Control Interno ME3- Asegurar el Cumplimiento Regulatorio ME4- Proveer Gobierno de TI Estado de Calificación VERSIÓN 1.0 Matriz de Calificación

2 Versión 1.0 Índice Información General Periodo de la Auditoría: Cedula jurídica de la entidad: Nombre de entidad: Responsable de la matriz de calificación: Puesto del responsable de la matriz de calificación: Teléfono del responsable de la matriz de calificación: del responsable de la matriz de calificación: Nombre del Auditor Externo: Firma donde labora Auditor: Número de CISA: 2 de 152

3 Índice OBJETIVOS DE CONTROL PO1 PO 1 Definir un Plan Estratégico de TI EVALUE CORRECTAMENTE EL PO 1.1 PO 1.1 Administración del valor de TI PO Se trabaja con el negocio para garantizar que el portafolio de TI de la empresa contenga programas con casos de negocio sólidos. PO PO PO Se tienen inversiones obligatorias, de sustento y discrecionales que difieren en complejidad y grado de libertad en cuanto a la asignación de fondos. Los procesos de TI proporcionan una entrega efectiva y eficiente de los componentes TI que forman parte de los programas y de las advertencias oportunas sobre las desviaciones del plan, que impacten los resultados esperados de los programas incluyendo: costo, cronograma o funcionalidad. Los servicios de TI se ejecutan contra acuerdos de niveles de servicios equitativos y exigibles. La rendición de cuentas de logro de los beneficios y del control de los costos es: PO Claramente asignada. PO Claramente monitoreada. Se establece una evaluación de los casos del negocio que sea justa, transparente, repetible y comparable, incluyendo: PO El valor financiero. PO El riesgo de no cumplir con una capacidad. PO El riesgo de no materializar los beneficios esperados. EVALUE CORRECTAMENTE EL PO 1.2 PO 1.2 Alineación de TI con el negocio Se educa a los ejecutivos sobre: PO Las capacidades tecnológicas actuales. PO El rumbo futuro. PO Las oportunidades que ofrece TI. PO Qué debe hacer el negocio para capitalizar esas oportunidades. PO Se asegura de que el rumbo del negocio del cual está alineado TI está bien entendido. Las estrategias del negocio y de TI están: PO PO Integradas, relacionando de manera clara las metas de la empresa y las metas de TI. 2. Reconociendo las oportunidades, así como las limitaciones en la capacidad actual. PO Comunicadas de manera amplia. PO Se identifica las áreas en que el negocio (estrategia) depende de forma crítica de TI. PO Se da una mediación entre los imperativos del negocio y la tecnología, de tal modo que se puedan establecer prioridades concertadas. PO1 3 de 152

4 EVALUE CORRECTAMENTE EL PO 1.3 PO 1.3 Evaluación del desempeño actual Se evalúa el desempeño de los planes existentes en términos de su contribución a: PO Los objetivos del negocio. PO La funcionalidad. PO La estabilidad. PO La complejidad. PO Los costos. PO Las fortalezas. PO Las debilidades. Se evalúa el desempeño de los sistemas de información existentes en términos de su contribución a: PO Los objetivos del negocio. PO La funcionalidad. PO La estabilidad. PO La complejidad. PO Los costos. PO Las fortalezas. PO Las debilidades. EVALUE CORRECTAMENTE EL PO 1.4 PO 1.4 Plan estratégico de TI PO PO Se elabora un plan estratégico que defina, en cooperación con los interesados relevantes, cómo TI contribuirá a los objetivos estratégicos de la empresa (metas) así como los costos y riesgos relacionados. El plan estratégico incluye la forma en que TI dará soporte a los programas de inversión facilitados por TI y a la entrega de los servicios operacionales. PO El plan estratégico de TI define la forma en que los objetivos se cumplirán y medirán, asimismo la manera de cómo recibir la autorización formal de los interesados. El plan estratégico de TI incluye: PO El presupuesto de la inversión / operativo. PO Las fuentes de financiamiento. PO Las estrategias de abastecimiento (suministros). PO La estrategia de adquisición. PO Los requerimientos legales. PO Los requerimientos regulatorios. PO El plan estratégico es lo suficientemente detallado para permitir la definición de planes tácticos de TI PO1 4 de 152

5 EVALUE CORRECTAMENTE EL PO 1.5 PO 1.5 Planes tácticos de TI PO Se crea un portafolio de planes tácticos de TI que se deriven del plan estratégico de TI Los planes tácticos describen: PO Las iniciativas y requerimientos de recursos de TI. PO Cómo el uso de los recursos y el logro de los beneficios es supervisado. PO Cómo el uso de los recursos y el logro de los beneficios es administrado. PO Los planes tácticos tienen el detalle suficiente para permitir la definición de planes de proyectados. PO Los planes tácticos y las iniciativas de TI establecidas por medio del análisis de los portafolios de proyectos y de servicios se administran de forma activa. PO La administración de los planes tácticos incluye el balance de los requerimientos y recursos de forma regular, comparándolos con el logro de metas estratégicas y tácticas, así como con los beneficios esperados, tomando las medidas necesarias en caso de desviaciones. EVALUE CORRECTAMENTE EL PO 1.6 PO 1.6 Administración del portafolio de TI Técnicas de Auditoría Pruebas de Cumplimiento Pruebas sustantivas PO Se administra de forma activa, junto con el negocio, el portafolio de inversión de TI requerido para lograr objetivos de negocio estratégicos específicos por medio de la identificación, definición, evaluación, asignación de prioridades, selección, inicio, administración y control de los programas. El portafolio de TI incluye: PO La descripción de los resultados deseados del negocio. PO La garantía de que los objetivos de los programas den soporte al logro de los resultados. PO El entendimiento el alcance completo del esfuerzo requerido para lograr los resultados. PO La definición de una rendición de cuentas clara con medidas de soporte. PO La definición de proyectos dentro del programa. PO La asignación de recursos y financiamiento. PO La delegación de autoridad. PO El licenciamiento de los proyectos requeridos al momento de lanzar el programa. PO1 5 de 152

6 NIVELES DE MADUREZ PO1 PO1 NM 1 MADUREZ 1 - INICIAL / AD HOC Nivel de Madurez 1 - Inicial / Ad Hoc PO1 NM 1.1 La gerencia de TI conoce la necesidad de una planeación estratégica de TI. PO1 NM 1.2 PO1 NM 1.3 PO1 NM 1.4 La planeación de TI se realiza según se necesite como respuesta a un requisito de negocio específico. La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia de TI. La alineación de los requerimientos de las aplicaciones y tecnología del negocio se lleva a cabo de modo reactivo en lugar de hacerlo por medio de una estrategia organizacional. PO1 NM 1.5 La posición de riesgo estratégico se identifica de manera informal proyecto por proyecto. PO1 NM 2 Nivel de Madurez 2 - Repetible pero intuitiva MADUREZ 2 - REPETIBLE PERO INTUITIVA PO1 NM 2.1 La planeación estratégica de TI se comparte con la administración del negocio según se necesite. PO1 NM 2.2 La actualización de los planes de TI ocurre como respuesta a las solicitudes de la dirección. PO1 NM 2.3 Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización. PO1 NM 2.4 Los riesgos y beneficios al usuario, resultado de decisiones estratégicas importantes se reconocen de forma intuitiva. PO1 NM 3 Nivel de Madurez 3 - Proceso definido MADUREZ 3 - PROCESO DEFINIDO PO1 NM 3.1 Una política define cómo y cuando realizar la planeación estratégica de TI. PO1 NM 3.2 La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. PO1 NM 3.3 El proceso de planeación de TI es razonablemente sólido y garantiza que es factible realizar una planeación adecuada. PO1 NM 3.4 Se otorga discrecionalidad a gerentes individuales específicos con respecto a la implementación del proceso, y no se dispone de procedimientos para analizar el proceso. PO1 NM 3.5 La estrategia general de TI incluye una definición consistente de los riesgos que la organización está dispuesta a tomar como innovador o como seguidor. PO1 NM 3.6 Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías. PO1 NM 3.7 La planeación estratégica de TI se discute en reuniones de la dirección del negocio. PO1 6 de 152

7 PO1 NM 4 PO1 NM 4.1 PO1 NM 4.2 PO1 NM 4.3 PO1 NM 4.4 PO1 NM 4.5 PO1 NM 4.6 MADUREZ 4 - ADMINISTRADO Y MEDIBLE Nivel de Madurez 4 - Administrado y medible La planeación estratégica de TI es una práctica estándar y las excepciones son advertidas por la dirección. La planeación estratégica de TI es una función administrativa definida con responsabilidades de alto nivel. La dirección puede monitorear el proceso estratégico de TI, tomar decisiones informadas con base en el plan y medir su efectividad. La planeación de TI de corto y largo plazo sucede y se distribuye en forma de cascada hacia la organización, y las actualizaciones se realizan según sean necesarias. La estrategia de TI y la estrategia organizacional son coordinadas al abordar procesos de negocio y capacidades de valor agregado y al apalancar el uso de aplicaciones y tecnologías por medio de la re-ingeniería de procesos de negocio. Se establecen procesos bien definidos para determinar el uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas. PO1 NM 5 Nivel de Madurez 5 - Optimizado MADUREZ 5 - OPTIMIZADO PO1 NM 5.1 PO1 NM 5.2 El proceso documentado y vivo de la planeación estratégica de TI se toma en cuenta en el establecimiento de las metas del negocio y da como resultado un valor observable de negocios por medio de las inversiones en TI. Las consideraciones de riesgo y de valor agregado se actualizan de modo constante en el proceso de planeación estratégica de TI. PO1 NM 5.3 Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio. PO1 NM 5.4 PO1 NM 5.5 Se realizan evaluaciones por comparación contra normas industriales bien entendidas y confiables y se integran con el proceso de formulación de la estrategia. El plan estratégico incluye cómo los nuevos avances tecnológicos pueden impulsar creación de nuevas capacidades de negocio y mejorar la ventaja competitiva de la organización. PO1 7 de 152

8 Índice OBJETIVOS DE CONTROL PO2 PO 2 Definir la Arquitectura de la Información EVALUE CORRECTAMENTE EL PO 2.1 PO 2.1 Modelo de arquitectura de información empresarial El modelo de arquitectura de información empresarial: PO Se establece. PO Se mantiene. PO PO Facilita el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como se describen en P Facilita la creación, el uso y la forma de compartir óptimamente la información por parte del negocio, de forma que conserve la integridad, flexibilidad, funcionalidad, rentabilidad, oportunidad, seguridad y tolerante a fallas. EVALUE CORRECTAMENTE EL PO 2.2 PO 2.2 Diccionario de datos empresarial y reglas de sintaxis de los datos PO Se mantiene un diccionario de datos empresarial que incluya las reglas de sintaxis de datos de la organización. PO El diccionario facilita la manera de compartir los elementos de datos entre las aplicaciones y los sistemas. PO El diccionario fomenta un entendimiento común de datos entre los usuarios de TI y del negocio, y previene la creación de elementos de datos incompatibles. EVALUE CORRECTAMENTE EL PO 2.3 PO 2.3 Esquema de clasificación de datos PO Se establece un esquema de clasificación que aplique a toda la empresa, basado en que tan crítica y sensible es la información (esto es, pública, confidencial, secreta) de la empresa. El esquema de clasificación de datos incluye detalles acerca de: PO La propiedad de datos. PO La definición de niveles apropiados de seguridad y de controles de protección. PO Una breve descripción de los requerimientos de retención y destrucción de datos. PO La criticidad y sensibilidad de los datos. PO El esquema de clasificación de datos se usa como base para aplicar controles como el control de acceso, archivo o encripción. EVALUE CORRECTAMENTE EL PO 2.4 PO 2.4 Administración de la integridad PO Se ha definido e implementado procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrónico, tales como bases de datos, almacenes de datos y archivos. PO2 8 de 152

9 NIVELES DE MADUREZ PO2 PO2 NM 1 Nivel de Madurez 1 - Inicial / Ad Hoc MADUREZ 1 - INICIAL / AD HOC PO2 NM 1.1 La administración reconoce la necesidad de una arquitectura de información. PO2 NM 1.2 PO2 NM 1.3 PO2 NM 1.4 El desarrollo de algunos de los componentes de una arquitectura de información ocurre de manera ad hoc Las definiciones abarcan datos en lugar de información, y son impulsadas por ofertas de proveedores de software aplicativo. Se tiene una comunicación esporádica e inconsistente de la necesidad de una arquitectura de información. MADUREZ 2 - REPETIBLE PERO INTUITIVA PO2 NM 2 Nivel de Madurez 2 - Repetible pero intuitiva PO2 NM 2.1 PO2 NM 2.2 Surge un proceso de arquitectura de información y se tienen procedimientos similares, aunque intuitivos e informales, que se siguen por distintos individuos dentro de la organización. Las persona obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas. PO2 NM 2.3 Los requerimientos tácticos impulsan el desarrollo de los componentes de la arquitectura de la información por parte de los individuos. PO2 NM 3 Nivel de Madurez 3 - Proceso definido MADUREZ 3 - PROCESO DEFINIDO PO2 NM 3.1 La importancia de la arquitectura de la información se entiende y se acepta, y la responsabilidad de su aplicación se asigna y se comunica de forma clara. PO2 NM 3.2 Los procedimientos, herramientas y técnicas relacionados, aunque no son sofisticados, se han estandarizado y documentado y son parte de actividades informales de capacitación. PO2 NM 3.3 PO2 NM 3.4 PO2 NM 3.5 Se han desarrollado políticas básicas de arquitectura de información, incluyendo algunos requerimientos estratégicos, aunque el cumplimiento de políticas, estándares y herramientas no se refuerza de manera consistente. Se dispone una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información. Las herramientas automatizadas se empiezan a utilizar, aunque los procesos y reglas son definidos por los proveedores de software de bases de datos. PO2 NM 3.6 Se definen, documentan y aplican consistentemente actividades formales de capacitación. PO2 9 de 152

10 PO2 NM 4 Nivel de Madurez 4 - Administrado y medible MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO2 NM 4.1 PO2 NM 4.2 Se da soporte completo al desarrollo e implementación de la arquitectura de información por medio de métodos y técnicas formales. La responsabilidad sobre el desempeño del proceso de desarrollo de la arquitectura se refuerza y se mide el éxito de la arquitectura de información. PO2 NM 4.3 Las herramientas automatizadas de soporte están ampliamente generalizadas, pero todavía no están integradas. PO2 NM 4.4 Se han identificado métricas básicas y se dispone de un sistema de medición. PO2 NM 4.5 PO2 NM 4.6 El proceso de definición de la arquitectura de información es proactivo y se enfoca en resolver necesidades futuras del negocio. La organización de administración de datos está activamente involucrada en todos los esfuerzos de desarrollo de las aplicaciones, para garantizar la consistencia. PO2 NM 4.7 Un repositorio automatizado está totalmente implementado. PO2 NM 4.8 Se encuentran en implementación modelos de datos más complejos para aprovechar el contenido informativo de la base de datos. PO2 NM 4.9 Los sistemas de información ejecutiva y los sistemas de soporte a la toma de decisiones aprovechan la información existente. PO2 NM 5 Nivel de Madurez 5 - Optimizado MADUREZ 5 - OPTIMIZADO Si No Técnicas de Auditoría Pruebas de Cumplimiento Pruebas sustantivas PO2 NM 5.1 La arquitectura de información es reforzada de forma consistente a todos los niveles. PO2 NM 5.2 El valor de la arquitectura de la información para el negocio se enfatiza de forma continua. PO2 NM 5.3 El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio. PO2 NM 5.4 La información provista por la arquitectura se aplica de modo consistente y amplio. PO2 NM 5.5 PO2 NM 5.6 PO2 NM 5.7 Se hace un uso amplio de las mejores prácticas de la industria en el desarrollo y mantenimiento de la arquitectura de información incluyendo un proceso de mejora continua. La estrategia para el aprovechamiento de la información por medio de tecnologías de un almacén de datos y tecnologías de minería de datos está bien definida. La arquitectura de la información se encuentra en mejora continua y toma en cuenta información no tradicional sobre los procesos, organizaciones y sistemas. PO2 10 de 152

11 Índice OBJETIVOS DE CONTROL PO3 PO 3 Determinar la Dirección Tecnológica EVALUE CORRECTAMENTE EL PO 3.1 PO 3.1 Planeación de la dirección tecnológica PO Se analiza las tecnologías existentes y emergentes. PO Se planea cual dirección tecnológica es apropiada tomar para materializar la estrategia de TI y la arquitectura de sistemas del negocio. PO Se identifica en el plan qué tecnologías tienen el potencial de crear oportunidades del negocio. El plan abarca: PO La arquitectura de sistemas. PO La dirección tecnológica. PO Las estrategias de migración. PO Los aspectos de contingencia de los componentes de la infraestructura. EVALUE CORRECTAMENTE EL PO 3.2 PO 3.2 Plan de infraestructura tecnológica El plan de infraestructura tecnológica: PO Se elabora. PO Se mantiene. PO Está de acuerdo con el plan estratégico de TI. PO Está de acuerdo con el plan táctico de TI. PO Se basa en la dirección tecnológica. El plan incluye: PO Los acuerdos para contingencias. PO La orientación para la adquisición de los recursos tecnológicos. PO Los cambios en el ambiente competitivo. PO Las economías de escalas en la obtención de equipo de sistemas de información. PO La mejora en la interoperabilidad de las plataformas y aplicaciones. EVALUE CORRECTAMENTE EL PO 3.3 PO 3.3 Monitoreo de tendencias y regulaciones futuras Se establece un proceso para monitorear las tendencias: PO Del sector / industria PO De las tecnológicas. PO De la infraestructura. PO Legales y regulatorias. PO En el desarrollo del plan de infraestructura tecnológica de TI se incluye las consecuencias de estas tendencias. PO3 11 de 152

12 EVALUE CORRECTAMENTE EL PO 3.4 PO 3.4 Estándares tecnológicos PO Se proporciona soluciones tecnológicas consistentes, efectivas y seguras para toda la empresa. Se establece un foro tecnológico para: PO Brindar directrices tecnológicas. PO Asesorar sobre los productos de la infraestructura. PO Guiar sobre la selección de la tecnología. PO Se mide el cumplimiento de estos estándares y directrices. PO El foro impulsa los estándares y las prácticas tecnológicas con base en su importancia y riesgo para el negocio, así como en el cumplimiento de requerimientos externos. EVALUE CORRECTAMENTE EL PO 3.5 PO 3.5 Consejo de arquitectura. Técnicas de Auditoría Pruebas de Cumplimiento Pruebas sustantivas PO Se establece un consejo de arquitectura de TI que proporciona directrices sobre la arquitectura y asesoría de su aplicación, y que verifica el cumplimiento. El consejo de arquitectura: PO Orienta el diseño de la arquitectura de TI. PO Garantiza que facilite la estrategia del negocio. PO Toma en cuenta el cumplimiento regulatorio y requerimientos de continuidad. PO Los aspectos del consejo de arquitectura se vinculan con la arquitectura de la información PO3 12 de 152

13 NIVELES DE MADUREZ PO3 PO3 NM 1 MADUREZ 1 - INICIAL / AD HOC Nivel de Madurez 1 - Inicial / Ad Hoc PO3 NM 1.1 PO3 NM 1.2 PO3 NM 1.3 PO3 NM 1.4 PO3 NM 1.5 La administración reconoce la necesidad de planear la infraestructura tecnológica. El desarrollo de componentes tecnológicos y la implementación de tecnologías emergentes son ad hoc y aisladas. Se tiene un enfoque reactivo y con foco operativo hacia la planeación de la infraestructura. La dirección de tecnología está impulsada por los planes evolutivos, con frecuencia contradictorios, del hardware, software de sistemas y de los proveedores de software aplicativo. La comunicación del impacto potencial de los cambios en la tecnología es inconsistente. PO3 NM 2 Nivel de Madurez 2 - Repetible pero intuitiva MADUREZ 2 - REPETIBLE PERO INTUITIVA PO3 NM 2.1 Se difunde la necesidad e importancia de la planeación tecnológica. PO3 NM 2.2 La planeación es táctica y se enfoca en generar soluciones técnicas a problemas técnicos, en lugar de usar la tecnología para satisfacer las necesidades del negocio. PO3 NM 2.3 La evaluación de los cambios tecnológicos se delega a individuos que siguen procesos intuitivos, aunque similares PO3 NM 2.4 Las personas obtienen sus habilidades sobre planeación tecnológica a través de un aprendizaje práctico y de una aplicación repetida de las técnicas. PO3 NM 2.5 Están surgiendo técnicas y estándares comunes para el desarrollo de componentes de la infraestructura. PO3 NM 3 Nivel de Madurez 3 - Proceso definido MADUREZ 3 - PROCESO DEFINIDO PO3 NM 3.1 La administración está consciente de la importancia del plan de infraestructura tecnológica. PO3 NM 3.2 El proceso para el plan de infraestructura tecnológica es razonablemente sólido y está alineado con el plan estratégico de TI. PO3 NM 3.3 Se tiene un plan de infraestructura tecnológica definido, documentado y bien difundido, aunque se aplica de forma inconsistente. PO3 NM 3.4 La orientación de la infraestructura tecnológica incluye el entendimiento de dónde la empresa desea ser líder y dónde desea rezagarse respecto al uso de tecnología, con base en los riesgos y en la alineación con la estrategia organizacional PO3 NM 3.5 Los proveedores clave se seleccionan con base en su entendimiento de la tecnología a largo plazo y de los planes de desarrollo de productos, de forma consistente con la dirección de la organización. PO3 13 de 152

14 PO3 NM 4 Nivel de Madurez 4 - Administrado y medible MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO3 NM 4.1 La dirección garantiza el desarrollo del plan de infraestructura tecnológica. PO3 NM 4.2 El equipo de TI cuenta con la experiencia y las habilidades necesarias para desarrollar un plan de infraestructura tecnológica. PO3 NM 4.3 El impacto potencial de las tecnologías cambiantes y emergentes se toma en cuenta. PO3 NM 4.4 La dirección puede identificar las desviaciones respecto al plan y anticipar los problemas. PO3 NM 4.5 La responsabilidad del desarrollo y mantenimiento del plan de infraestructura tecnológica ha sido asignada. PO3 NM 4.6 El proceso para desarrollar el plan de infraestructura tecnológica es sofisticado y sensible a los cambios. PO3 NM 4.7 Se han incluido buenas prácticas internas en el proceso. PO3 NM 4.8 La estrategia de recursos humanos está alineada con la dirección tecnológica, para garantizar que el equipo de TI pueda administrar los cambios tecnológicos. PO3 NM 4.9 Los planes de migración para la introducción de nuevas tecnologías están definidos. PO3 NM 4.10 PO3 NM 4.11 Los recursos externos y las asociaciones se aprovechan para tener acceso a la experiencia y a las habilidades necesarias. La dirección ha evaluado la aceptación del riesgo de usar la tecnología como líder, o rezagarse en su uso, para desarrollar nuevas oportunidades de negocio o eficiencias operativas. PO3 NM 5 PO3 NM 5.1 PO3 NM 5.2 PO3 NM 5.3 PO3 NM 5.4 PO3 NM 5.5 PO3 NM 5.6 PO3 NM 5.7 MADUREZ 5 - OPTIMIZADO Nivel de Madurez 5 - Optimizado Se dispone la función de investigación que revisa las tecnologías emergentes y evolutivas y para evaluar la organización por comparación contra las normas industriales. La dirección del plan de infraestructura tecnológica está impulsada por los estándares y avances industriales e internacionales, en lugar de estar orientada por los proveedores de tecnología. El impacto potencial de los cambios tecnológicos sobre el negocio se revisa al nivel de la alta dirección. Se dispone de la aprobación ejecutiva formal para el cambio de la dirección tecnológica o para adoptar una nueva. La entidad ha establecido un plan robusto de infraestructura tecnológica que refleja los requerimientos del negocio, es sensible a los cambios en el ambiente del negocio y puede reflejarlos. Se ha establecido un proceso continuo y reforzado para mejorar el plan de infraestructura tecnológica. Las mejores prácticas de la industria se usan de forma amplia para determinar la dirección técnica. Si No PO3 14 de 152

15 Índice OBJETIVOS DE CONTROL PO4 PO 4 Definir los procesos, la Organización y las Relaciones de TI EVALUE CORRECTAMENTE EL PO 4.1 PO 4.1 Marco de trabajo del proceso PO Se ha definido un marco de trabajo para el proceso de TI para ejecutar el plan estratégico de TI. Este marco de trabajo incluye: PO PO La estructura y relaciones de procesos de TI (administrando brechas y superposiciones de procesos). 2. La propiedad. PO La medición del desempeño PO Las mejoras. PO El cumplimiento. PO PO Las metas de calidad y planes para alcanzarlas. El marco de trabajo proporciona integración entre los procesos que son específicos para TI, administración del portafolio de TI, procesos de negocio y procesos de cambio del negocio. El marco de trabajo está integrado con: PO Un sistema de administración de calidad. PO Un marco de trabajo de control interno. EVALUE CORRECTAMENTE EL PO 4.2 PO 4.2 Comité estratégico PO Se ha establecido un comité estratégico de TI a nivel del consejo directivo. PO El comité garantiza que el gobierno de TI, como parte del gobierno corporativo, se maneja de forma adecuada, asesora sobre la dirección estratégica y revisa las inversiones principales a nombre del consejo directivo. EVALUE CORRECTAMENTE EL PO 4.3 PO 4.3 Comité directivo (Steering Committee) PO Se ha establecido un comité directivo de TI (o su equivalente) compuesto por la administración ejecutiva, del negocio y de TI. El comité directivo de TI: PO Determina las prioridades de los programas de inversión de TI alineadas con la estrategia y prioridades de negocio de la empresa. PO Da seguimiento al estado de los proyectos y resuelve los conflictos de recursos. PO Monitorea los acuerdos de niveles de servicio (SLA) y las mejoras del servicio PO4 15 de 152

16 EVALUE CORRECTAMENTE EL PO 4.4 PO 4.4 Ubicación organizacional de la función de TI PO Se ubica a la función de TI dentro de la estructura organizacional. PO Se ha definido un modelo de negocios supeditado a la importancia de TI dentro de la empresa, (en especial en función de que tan crítica es para la estrategia del negocio y el nivel de dependencia operativa sobre TI). PO La línea de reporte del director de TI (CIO) es proporcional con la importancia de TI dentro de la empresa EVALUE CORRECTAMENTE EL PO 4.5 PO 4.5 Estructura organizacional PO Se ha establecido una estructura organizacional de TI interna y externa que refleje las necesidades del negocio. PO Se implementa un proceso para revisar la estructura organizacional de TI de forma periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos de negocio esperados y las circunstancias cambiantes. EVALUE CORRECTAMENTE EL PO 4.6 PO 4.6 Roles y responsabilidades PO Se define y comunica los roles y las responsabilidades para todo el personal en la organización en relación a los sistemas de información. PO La definición y la comunicación permite que ejerzan los roles y responsabilidades asignados con suficiente autoridad. PO Se establece y actualiza periódicamente la descripción de roles. PO Las descripciones deben estar alineadas con la responsabilidad y autoridad, incluyendo definiciones de habilidades y experiencias necesarias en cada posición y que serán aplicables en el uso y evaluación del desempeño. EVALUE CORRECTAMENTE EL PO 4.7 PO 4.7 Responsabilidad de aseguramiento de calidad de TI PO Se asigna la responsabilidad para el desempeño de la función de aseguramiento de calidad. Se proporciona al grupo de aseguradores de TI: PO Los sistemas de aseguramiento de calidad apropiado. PO Los controles de aseguramiento de la calidad. PO Las habilidades de comunicación (personal con habilidades de comunicación). PO La ubicación organizacional, las responsabilidades y el tamaño del grupo de aseguramiento de calidad satisfacen los requerimientos de la organización PO4 16 de 152

17 EVALUE CORRECTAMENTE EL PO 4.8 PO 4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento PO Se incluye la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior (senior). PO Se define y asigna roles críticos para administrar los riesgos de TI. Los roles críticos incluyen: PO La responsabilidad específica de la seguridad de la información. PO La seguridad física. PO El cumplimiento. PO Se establece la responsabilidad sobre la administración del riesgo y la seguridad a nivel de la empresa para manejar los problemas organizacionales. PO Se asignan responsabilidades adicionales de administración de la seguridad a nivel de sistema específico para manejar problemas relacionados con seguridad. PO La alta dirección orienta respecto al apetito del riesgo de TI y aprueba cualquier riesgo residual de TI. EVALUE CORRECTAMENTE EL PO 4.9 PO 4.9 Propiedad de datos y de sistemas PO Se proporciona al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información. PO Los propietarios toman decisiones sobre la clasificación de la información y de los sistemas, sobre cómo protegerlos de acuerdo a esta clasificación. EVALUE CORRECTAMENTE EL PO 4.10 PO 4.10 Supervisión Se implementan prácticas adecuadas de supervisión dentro de la función de TI para: PO Garantizar que los roles y responsabilidades se ejerzan de forma apropiada. PO Evaluar si el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades. PO Revisar los indicadores claves de desempeño. EVALUE CORRECTAMENTE EL PO 4.11 PO 4.11 Segregación de funciones PO Se implementa una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crítico. PO La administración asegura que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas. PO4 17 de 152

18 EVALUE CORRECTAMENTE EL PO 4.12 PO 4.12 Personal de TI PO Se evalúa los requerimientos de personal de forma regular o cuando existan cambios importantes en el ambiente de negocios, operativo o de TI para garantizar que la función de TI cuente con un número suficiente de personal competente. El proceso de dotación de personal toma en cuenta: PO La ubicación de personal de negocios / TI. PO La capacitación funcional cruzada. PO La rotación de puestos. PO Las oportunidades de personal externo. EVALUE CORRECTAMENTE EL PO 4.13 PO 4.13 Personal clave de TI PO Se define e identifica el personal clave de TI. PO Se minimiza la dependencia excesiva en ellos. PO Se tiene un plan para contactar al personal clave de TI en caso de emergencia. EVALUE CORRECTAMENTE EL PO 4.14 PO 4.14 Políticas y procedimientos para personal contratado Técnicas de Auditoría Pruebas de Cumplimiento Pruebas sustantivas Se definen e implementan políticas y procedimientos para el personal contratado que: PO Controlen las actividades de los consultores y otro personal contratado por la función de TI. PO Garanticen la protección de los activos de información de la empresa. PO Estén de acuerdo con los requerimientos contractuales. EVALUE CORRECTAMENTE EL PO 4.15 PO 4.15 Relaciones PO Se establece y mantiene una estructura de enlace, comunicación y coordinación óptima entre la función de TI y otros interesados dentro y fuera de la función de TI, tales como el consejo directivo, ejecutivos, unidades de negocio, usuarios individuales, proveedores, oficiales de seguridad, gerentes de riesgo, el grupo corporativo de cumplimiento, los contratistas externos y la administración externa (offsite). PO4 18 de 152

19 NIVELES DE MADUREZ PO4 PO4 NM 1 Nivel de Madurez 1 - Inicial / Ad Hoc MADUREZ 1 - INICIAL / AD HOC PO4 NM 1.1 Las actividades y funciones de TI son reactivas y se implementan de forma inconsistente. PO4 NM 1.2 El área de TI se involucra en los proyectos solamente en las etapas finales. PO4 NM 1.3 La función de TI se considera como una función de soporte, sin una perspectiva organizacional general. PO4 NM 1.4 Se tiene un entendimiento explícito de la necesidad de una organización de TI; sin embargo, los roles y las responsabilidades no están formalizados ni reforzados. PO4 NM 2 Nivel de Madurez 2 - Repetible pero intuitiva MADUREZ 2 - REPETIBLE PERO INTUITIVA PO4 NM 2.1 La función de TI está organizada para responder de forma táctica aunque de forma inconsistente, a las necesidades de los clientes y a las relaciones con los proveedores. PO4 NM 2.2 La necesidad de contar con una organización estructurada y una administración de proveedores se comunica, pero las decisiones todavía dependen del conocimiento y habilidades de individuos clave. PO4 NM 2.3 Surgen técnicas comunes para administrar la organización de TI y las relaciones con los proveedores. PO4 NM 3 Nivel de Madurez 3 - Proceso definido MADUREZ 3 - PROCESO DEFINIDO PO4 NM 3.1 Se cuentan roles y responsabilidades definidos para la organización de TI y para terceros. PO4 NM 3.2 La organización de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI. PO4 NM 3.3 Se define el ambiente de control interno. PO4 NM 3.4 Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores. PO4 NM 3.5 La organización de TI está funcionalmente completa. PO4 NM 3.6 Se establecen definiciones de las funciones a ser realizadas por parte del personal de TI y las que deben realizar los usuarios. PO4 NM 3.7 Los requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. PO4 NM 3.8 Se cuenta con una definición formal de las relaciones con los usuarios y con terceros. PO4 NM 3.9 La división de roles y responsabilidades está definida e implementada. PO4 19 de 152

20 PO4 NM 4 Nivel de Madurez 4 - Administrado y medible MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO4 NM 4.1 La organización de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. PO4 NM 4.2 La administración, la propiedad de procesos, la delegación y la responsabilidad de TI están definidas y balanceadas. PO4 NM 4.3 Se aplican buenas prácticas internas en la organización de las funciones de TI. PO4 NM 4.4 La gerencia de TI cuenta con experiencia y habilidades apropiadas para definir, implementar y monitorear la organización deseada y las relaciones. PO4 NM 4.5 Las métricas medibles para dar soporte a los objetivos del negocio y los factores críticos de éxito definidos por el usuario siguen un estándar. PO4 NM 4.6 Se cuentan con inventarios de habilidades para apoyar al personal de los proyectos y el desarrollo profesional. PO4 NM 4.7 PO4 NM 4.8 El equilibrio entre las habilidades y los recursos disponibles internamente, y los que se requieren de organizaciones externas están definidos y reforzados. La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratégicos del negocio, en lugar de estar alineados con tecnologías aisladas. PO4 NM 5 Nivel de Madurez 5 - Optimizado MADUREZ 5 - OPTIMIZADO Si No PO4 NM 5.1 La estructura organizacional de TI es flexible y adaptable. PO4 NM 5.2 Se ponen en funcionamiento las mejores prácticas de la industria. PO4 NM 5.3 Se utiliza la tecnología para monitorear el desempeño de la organización y de los procesos de TI. PO4 NM 5.4 La tecnología se aprovecha para apoyar la complejidad y distribución geográfica de la organización. PO4 NM 5.5 Se cuenta con un proceso de mejora continua y está implementado. PO4 20 de 152

21 Índice OBJETIVOS DE CONTROL PO5 PO 5 Administrar la Inversión en TI EVALUE CORRECTAMENTE EL PO 5.1 PO 5.1 Marco de trabajo para la administración financiera Técnicas de Auditoría Pruebas de Cumplimiento Pruebas sustantivas PO Se establece un marco de trabajo financiero para TI que impulse el presupuesto y el análisis de rentabilidad basado en los portafolios de inversión, de servicios y de activos. PO Se da mantenimiento a los portafolios de los programas de inversión de TI, de los servicios de TI y de los activos de TI, los cuales forman la base para el actual presupuesto actual de TI. PO Se brinda información de entrada a los casos de negocio de nuevas inversiones, tomando en cuenta los portafolios actuales de activos y servicios de TI. PO Las nuevas inversiones y el mantenimiento a los portafolios de servicios y de activos influyen en el futuro presupuesto de TI. PO Se comunican los aspectos de costo y beneficio de estos portafolios a los procesos de priorización de presupuestos, administración de costos y administración de beneficios. EVALUE CORRECTAMENTE EL PO 5.2 PO 5.2 Prioridades dentro del presupuesto de TI PO Se implementa un proceso de toma de decisiones para priorizar la asignación de recursos de TI para las operaciones, proyectos y mantenimiento que maximice la contribución de TI a optimizar el retorno del portafolio empresarial de programas de inversión en TI y otros servicios y activos de TI. EVALUE CORRECTAMENTE EL PO 5.3 PO 5.3 Proceso presupuestario de TI PO Se establece un proceso para elaborar y administrar un presupuesto que refleje las prioridades establecidas en el portafolio empresarial de programas de inversión de TI, que incluya los costos recurrentes de operación y el mantenimiento de la infraestructura actual. PO El proceso da soporte al desarrollo de un presupuesto general de TI, así como al desarrollo de presupuestos para programas individuales, con énfasis especial en los componentes de TI de esos programas. PO El proceso permite la revisión, el refinamiento y la aprobación constante del presupuesto general y de los presupuestos de programas individuales. EVALUE CORRECTAMENTE EL PO 5.4 PO 5.4 Administración de costos PO Se implementa un proceso de administración de costos que compare los costos reales con los presupuestados. PO Los costos se monitorean y reportan. Cuando existen desviaciones: PO Se identifican de forma oportuna. PO Se evalúa el impacto de esas desviaciones sobre los programas. PO Se toman las acciones correctivas apropiadas, junto con el patrocinador del negocio de estos programas. PO Se actualiza el caso de negocio del programa de inversión. PO5 21 de 152

22 EVALUE CORRECTAMENTE EL PO 5.5 PO 5.5 Administración de beneficios PO Se implementan un proceso de monitoreo de beneficios. La contribución esperada de TI a los resultados del negocio, ya sea como un componente de programa de inversión en TI o como parte de un soporte operativo regular, se : PO Identifica. PO Acuerda. PO Monitorea. PO PO PO Reporta. Al revisar los reportes, donde existan oportunidades para mejorar la contribución de TI, se definen y se toman las medidas apropiadas. En caso de que los cambios en la contribución de TI, o cuando los cambios a otros proyectos relacionados impacten al programa, el caso de negocio se actualiza. NIVELES DE MADUREZ PO5 PO5 NM 1 Nivel de Madurez 1 - Inicial / Ad Hoc MADUREZ 1 - INICIAL / AD HOC PO5 NM 1.1 La organización reconoce la necesidad de administrar la inversión en TI, aunque esta necesidad se comunica de manera inconsistente. PO5 NM 1.2 La asignación de responsabilidades de selección de inversiones en TI y de desarrollo de presupuestos se hace de una forma ad hoc. PO5 NM 1.3 Las implementaciones aisladas de selección y presupuesto de inversiones en TI, se documenta informalmente. PO5 NM 1.4 Las inversiones en TI se justifican de una forma ad hoc (para un fin determinado). PO5 NM 1.5 Se toman decisiones presupuestales enfocadas de modo reactivo y operativo. PO5 NM 2 Nivel de Madurez 2 - Repetible pero intuitiva MADUREZ 2 - REPETIBLE PERO INTUITIVA PO5 NM 2.1 Se tiene un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones en TI. PO5 NM 2.2 La necesidad de un proceso de selección y presupuesto se comunica. PO5 NM 2.3 El cumplimiento depende de la iniciativa de individuos dentro de la organización. PO5 NM 2.4 Surgen técnicas comunes para desarrollar componentes de presupuesto de TI. PO5 NM 2.5 Se toman decisiones presupuestales enfocadas de modo reactivo y táctico. PO5 NM 3 Nivel de Madurez 3 - Proceso definido MADUREZ 3 - PROCESO DEFINIDO PO5 NM 3.1 Tanto las políticas como los procesos para inversiones y presupuestos están definidas, documentadas, comunicadas y cubren temas clave de negocio y de tecnología. PO5 NM 3.2 El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio. PO5 NM 3.3 Los procesos de selección de inversiones en TI y de presupuestos están formalizados, documentados y comunicados. PO5 NM 3.4 La capacitación formal está surgiendo, pero todavía se basa principalmente en iniciativas individuales. PO5 NM 3.5 La aprobación formal de selección de las inversiones de TI y los presupuestos se lleva a cabo. PO5 NM 3.6 El personal de TI cuenta con la experiencia y habilidades necesarias para desarrollar el presupuesto de TI y recomendar inversiones apropiadas en TI. PO5 22 de 152

23 PO5 NM 4 Nivel de Madurez 4 - Administrado y medible MADUREZ 4 - ADMINISTRADO Y MEDIBLE PO5 NM 4.1 La responsabilidad y la rendición de cuentas por la selección y presupuestos de inversiones se asignan a un individuo específico. PO5 NM 4.2 Las diferencias en el presupuesto se identifican y se resuelven. PO5 NM 4.3 Se realizan análisis formales de costos que cubren los costos directos e indirectos de las operaciones existentes, así como propuestas de inversiones, considerando todos los costos a lo largo de todo el ciclo de vida. PO5 NM 4.4 Se usa un proceso de presupuestos proactivo y estándar. PO5 NM 4.5 El impacto en los costos operativos y de desarrollo debidos a cambios en hardware y software, hasta cambios en integración de sistemas y recursos humanos de TI, se reconoce en los planes de inversión. PO5 NM 4.6 Los beneficios y los retornos se calculan en términos financieros y no financieros. PO5 NM 5 Nivel de Madurez 5 - Optimizado MADUREZ 5 - OPTIMIZADO Si No PO5 NM 5.1 Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identifican la efectividad de las inversiones. PO5 NM 5.2 Se utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones. PO5 NM 5.3 El proceso de administración de inversiones se mejora de forma continua con base en las lecciones aprendidas provenientes del análisis del desempeño real de las inversiones. PO5 NM 5.4 Las decisiones de inversiones incluyen las tendencias de mejora de precio / desempeño. PO5 NM 5.5 Se investigan y evalúan formalmente las alternativas de financiamiento dentro del contexto de la estructura de capital existente en la organización, mediante el uso de métodos formales de evaluación. PO5 NM 5.6 Se identifica proactivamente las desviaciones. PO5 NM 5.7 El análisis de los costos a largo plazo y los beneficios del ciclo total de vida es incorporado en las decisiones de inversión PO5 23 de 152

24 Índice OBJETIVOS DE CONTROL PO6 PO 6 Comunicar los Objetivos y Dirección de la Gerencia EVALUE CORRECTAMENTE EL PO 6.1 PO 6.1 Ambiente de políticas y de control Técnicas de Auditoría Pruebas de Cumplimiento Pruebas sustantivas PO Se definen los elementos de un entorno de control de TI, alineado con la filosofía de administración empresarial y con el estilo de operación. Los elementos del entorno de control de TI incluyen: PO PO Las expectativas / requerimientos respecto a la entrega de valor proveniente de las inversiones en TI. 2. El apetito de riesgo. PO La integridad PO Los valores éticos. PO La competencia del personal. PO La rendición de cuentas PO La responsabilidad. El ambiente de control está basado en una cultura que: PO Apoya la entrega de valor. PO Administración de los riesgos significativos. PO Fomenta la colaboración inter-divisional y el trabajo en equipo PO Promueve el cumplimiento y la mejora continua de procesos. PO Maneja las desviaciones (incluyendo las fallas) de forma adecuada. EVALUE CORRECTAMENTE EL PO 6.2 PO 6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO Se elabora y mantiene un marco de trabajo que establezca el enfoque empresarial general hacia los riesgos y hacia el control interno para entregar valor mientras se protegen los recursos y sistemas de TI. El marco de trabajo: PO Se integra con el marco de procesos de TI. PO Se integra con el sistema de administración de calidad PO Cumple con los objetivos generales de la empresa. PO La meta es maximizar el éxito de la entrega de valor. PO Se minimiza los riesgos para los activos de información por medio de medidas preventivas, la identificación oportuna de irregularidades, la limitación de pérdidas y la oportuna recuperación de activos del negocio. PO6 24 de 152

25 EVALUE CORRECTAMENTE EL PO 6.3 PO 6.3 Administración de políticas para TI PO Se elabora y mantiene un conjunto de políticas que apoyen la estrategia de TI Las políticas de TI incluyen: PO La intención de la alta dirección respecto a la política. PO Los roles y responsabilidades. PO Los procesos de excepción. PO El enfoque de cumplimiento y referencias a procedimientos PO Los estándares y directrices. Las políticas de TI atienden las temáticas tales como: PO Calidad. PO Seguridad. PO Confidencialidad. PO Controles internos. PO Propiedad intelectual. PO Se confirma y aprueba regularmente la relevancia de estas políticas EVALUE CORRECTAMENTE EL PO 6.4 PO 6.4 Política de Implantación Técnicas de Auditoría Pruebas de Cumplimiento Pruebas sustantivas PO Las políticas de TI se implementan y se comunican a todo el personal relevante, y se refuerzan, de tal forma que estén incluidas y sean parte integral de las operaciones empresariales. PO Los métodos de implementación resuelven necesidades e implicaciones de recursos y concientización. EVALUE CORRECTAMENTE EL PO 6.5 PO 6.5 Comunicación de los objetivos y la dirección de TI PO Se asegura que la conciencia y el entendimiento de los objetivos y la dirección del negocio y de TI se comunican a toda la organización. La información comunicada abarca: PO Una misión claramente definida. PO Los objetivos de servicio. PO La seguridad PO Los controles internos. PO La calidad. PO El código de ética y conducta. PO Las políticas y procedimientos. PO La comunicación continua dentro de un programa, apoyado por la alta dirección con acciones. PO La dirección da especial atención a comunicar la conciencia sobre la seguridad de TI y el mensaje de que: la seguridad de TI es responsabilidad de todos. PO6 25 de 152