COBIT

“Planeación y Organización”
Arellano Manjarrez Cristopher
Barón Hernández Diego Ismael
Bernabé Aparicio María Elsi
Espino Maldonado Eduardo
Gutiérrez Cerda Vladimir
Objetivos de Control para la Información y la
Tecnología relacionada - COBIT
Buenas prácticas
● Marco de trabajo de dominios y procesos.
● Presentar las actividades en una estructura manejable y lógica.

Modelo de procesos
● 34 procesos ● Áreas focales del Gobierno de TI
● Objetivo de control ● Entradas y salidas
● Áreas de responsabilidad ● Metas y métricas
● Recursos de TI ● Modelo de Madurez
Planear y Organizar (PO)

¿Están alineadas las estrategias de TI y del negocio?

¿La empresa está alcanzando un uso óptimo de sus recursos?

¿Entienden todos dentro de la organización los objetivos de TI?

¿Se entienden y administran los riesgos de TI?

¿Es apropiada la calidad de los sistemas de TI para las necesidades?

PO1 Definir un plan estratégico de TI
Metas de negocio
Objetivo de control de alto nivel
● Extender requerimientos de gobierno y la estrategia del negocio
● Transparencia: beneficios, costos y riesgos

Metas de TI
● incorporación de TI y de la gerencia del negocio.
● Desarrollo de estrategias

Controles clave
● Alinear planeación estratégica de TI con necesidades
del negocio
● Definir: prioridades para objetivos del negocio.

Métricas clave
● % objetivos de TI en plan estratégico
● % proyectos de TI en portafolio de proyectos
● Retraso entre plan estratégico y táctico
 PO1 Definir un plan estratégico de TI
Criterios de información

● P - Efectividad ● S - Eficiencia

Áreas focales

P - Alineación S - Administración de S - Administración de

estratégica recursos riesgos

Recursos de TI
● Aplicaciones ● Infraestructura
● Información ● Personas
 Objetivos de control detallados
Administración del valor de TI
PO1.1
→ Existen diferentes inversiones y asignación de fondos a ellas.
→ Rendición de cuentas del logro de los beneficios es asignada y monitoreada.

Alineación de TI con el negocio

Las estrategias de negocio y de TI deben estar integradas, relacionando las metas de la empresa y las
PO1.2 metas de TI y reconociendo las oportunidades y limitaciones en la capacidad actual.

Evaluación del desempeño actual

PO1.3 Evaluar desempeño de los planes y de los SI en términos de su contribución a los objetivos de negocio,
su funcionalidad, su estabilidad, su complejidad, sus costos, sus fortalezas y debilidades.
 Objetivos de control detallados
Plan estratégico de TI
PO1.4 Definir cómo los recursos de TI contribuirán a los objetivos estratégicos empresariales (metas) así como
los costos y riesgos relacionados.

Planes tácticos de TI
Describir las iniciativas y los requerimientos de recursos requeridos por TI, y cómo el uso de los recursos
PO1.5
y el logro de los beneficios serán monitoreados y administrados.

Administración del portafolio de TI

Administrar el portafolio de programas de inversión de TI para lograr objetivos de negocio por medio de
PO1.6 la identificación, definición, evaluación, asignación de prioridades.
 Directrices Gerenciales
ENTRADAS SALIDAS

Reportes de costo/beneficio Plan estratégico de TI

Evaluación de riesgos Plan táctico de TI

Portafolio de proyectos actualizado Portafolio de proyecto de TI

Requerimientos de servicio nuevos/actualizados; Portafolio de servicios de TI

portafolio de servicios actualizado
Estrategia de contratación externa de TI
Estrategia y prioridades del negocio
Estrategia de adquisición de TI
Portafolio de programas

Entradas de desempeño a planeación de TI

Reporte del estado del gobierno de TI; dirección

estratégica de la empresa para TI
 io
oc
Gráfica RACI

eg
ln

ur oría
io

de

es
oc

TI

d
it
os

Je cto cion

PM e ad rollo

ida
y s aud
eg

de
e
es

jef
ln

ón
a

r
oc

go to,
a

eg
en
er
de

m
pr

n
op

de

Ri mie
CI tivo

de

de

de
e

pli
u

p.

uit

d
O

O
ec

es
fe

fe
O
ACTIVIDADES

m
o

fe
CE

q
Je
Pr
Ej

Cu
Ar

Je
Relacionar las metas del negocio con las de TI C I A/R R C

Identificar dependencias críticas y desempeño C C R A/R C C C C C C

actual

Construir un plan estratégico para TI A C C R I C C C C I C

Construir planes tácticos para TI C I A C C C C C R I

Analizar portafolios de programas y administrar C I I A R R C R C C I

portafolios de servicios y proyectos
 Metas y métricas
Actividades
Involucrarse con la alta gerencia para alineación
estratégica y traducir plan estratégico a planes
tácticos identificando prioridades que cuantifiquen
los requerimientos.
Procesos
Definir la estrategia para la entrega de las ofertas de
servicio proporcionando transparencia y
entendimiento de costos, beneficios, estrategias,
políticas y niveles de servicio de TI.
TI
Responder a los requerimientos del negocio en
alineación con la estrategia del negocio y responder a
los requerimientos de gobierno alineados con la
dirección del consejo directivo.
Clave de desempeño
» Retraso entre actualizaciones de planes estratégicos
de TI y actualizaciones de planes tácticos de TI.
» % de iniciativas/proyectos TI dirigidos por propietarios
del negocio.
Clave de meta de procesos
» % de objetivos de TI en el plan estratégico de TI que
dan soporte al plan estratégico del negocio.
» % de proyectos de TI que se pueden rastrear de
forma directa al plan táctico de TI.
Clave de metas de TI
» Grado de aprobación de los propietarios del negocio.
» Grado de cumplimiento de requisitos de gobierno y de
negocio.
 Modelo de madurez

No se lleva a cabo La gerencia de TI La planeación estratégica de

la planeación conoce la necesidad TI es una práctica estándar y
estratégica de TI de una planeación las excepciones son
estratégica de TI. advertidas por la dirección.

0 1 2 3 4 5
La gerencia de TI Una política define La planeación estratégica de TI
conoce la necesidad cómo y cuándo es un proceso que da como
de una planeación realizar la planeación resultado un valor observable
estratégica de TI. estratégica de TI. de negocios por medio de las
inversiones en TI
PO2 Definir la arquitectura de información
Metas de negocio
Objetivo de control de alto nivel Agilizar la respuesta a los requerimientos, proporcionar información confiable y
consistente, para integrar de forma transparente las aplicaciones dentro de los
procesos del negocio

Metas de TI
Establecimiento de un modelo de datos que garantice la integridad y
consistencia de todos los datos.

Controles clave

Exactitud de la arquitectura de la información y del modelo de

datos asignándole propiedad y clasificando la información.

Métricas clave
● % Elementos de datos redundantes
● % Aplicaciones que no cumplen con arquitectura
 PO2 Definir la arquitectura de información

Criterios de información Áreas focales Recursos de TI

● S - Efectividad ● Aplicaciones
● P - Alineación estratégica
● P - Eficiencia ● Información
● P - Administración de
● S - Confidencialidad recursos

● P - Integridad ● S - Entrega de Valor

● S - Administración de riesgos
 Objetivos de control detallados
Modelo de arquitectura de información empresarial
PO2.1
Establecer y mantener un modelo de información empresarial que facilite el desarrollo de aplicaciones
y las actividades de soporte a la toma de decisiones, consistente con los planes de TI

Diccionario de datos empresarial y reglas de sintaxis de datos

Mantener un diccionario de datos empresarial que fomente un entendimiento común de datos entre los
PO2.2 usuarios de TI y del negocio.

Esquema de clasificación de datos

PO2.3 Establecer un esquema de clasificación que aplique a toda la empresa, basado en qué tan crítica y
sensible es la información de la empresa.

IT Administración de la integridad
PO2.4 Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los datos
almacenados en formato electrónico.
 Directrices Gerenciales

ENTRADAS SALIDAS

Planes estratégico y tácticos de TI. Esquema de clasificación de datos.

Estudio de factibilidad de requerimientos del Plan de sistemas de negocio optimizado.

negocio.
Diccionario de datos
Revisión post-implantación.
Arquitectura de la información
Información de desempeño y capacidad.
Clasificaciones asignadas a datos
Entrada de desempeño y planeación
* Procedimientos y herramientas de clasificación
 io
oc
Gráfica RACI

eg
ln

ur oría
io

de

es
oc

TI

d
it
os

Je cto cion

PM e ad rollo

ida
y s aud
eg

de
e
es

jef
ln

ón
a

r
oc

go to,
a

eg
en
er
de

m
pr

n
op

de

Ri mie
CI tivo

de

de

de
e

pli
u

p.

uit

d
O

O
ec

es
fe

fe
O
ACTIVIDADES

m
o

fe
CE

q
Je
Pr
Ej

Cu
Ar

Je
Crear y mantener modelo de información C I C R C C C

Crear y mantener diccionario de datos C A/ R C

R

Establecer y mantener esquema de clasificación de I C A C I C C R

datos

Brindar a los propietarios procedimientos y I C A C I C C R

herramientas para clasificar SI

Usar el modelo de información, diccionario y C C I C R C I

esquema para planear los sistemas de negocio
 Metas y métricas
Actividades Clave de desempeño

Garantizar la exactitud de la arquitectura de » % de elementos de datos que no tienen propietario.

información y del modelo de datos y manteniendo la » Frecuencia de actualizaciones al modelo de datos.
integridad de los datos. » Nivel de participación de la comunidad de usuarios.

Procesos
Clave de meta de procesos
Establecer un modelo de datos empresarial para » % de elementos que no son parte del modelo de
reducir la redundancia de los datos y dar soporte datos.
efectivo a la administración de información. » % de aplicaciones que no cumplen con las
arquitecturas de información

TI Clave de metas de TI
Garantizar la integración de las aplicaciones hacia los
» El % de satisfacción de los usuarios respecto al
procesos de negocio y responder a los requisitos de
modelo de información.
negocio de manera alineada con la estrategia del
» % de elementos de datos redundantes / duplicados
negocio para crear agilidad de TI
 Modelo de madurez
No existe conciencia de la Se da soporte completo al
importancia de la Surge un proceso de desarrollo e implantación de
arquitectura de la arquitectura de la arquitectura de
información para la información y existen información por medio de
organización. procedimientos similares. métodos y técnicas formales.

0 1 2 3 4 5
La gerencia reconoce la La importancia de la
La arquitectura de
necesidad de una arquitectura de la
información es reforzada
arquitectura de información se entiende y
de forma consistente a
información. se acepta.
todos los niveles.
 PO3: Determinar la dirección tecnológica
➢ La función de servicios de información debe
determinar la dirección tecnológica para dar
soporte al negocio, para esto requiere de un
plan de infraestructura tecnológica y de crear
un consejo de arquitectura que establezca y
administre expectativas realistas y claras de lo
que la tecnología puede ofrecer en términos
de productos, servicios y mecanismos de
aplicación.
➢ El plan se debe actualizar de forma regular y
abarca aspectos tales como arquitectura de
sistemas, dirección tecnológica, planes de
adquisición, estándares, estrategias de
migración y contingencias.
 Criterios de información Áreas de enfoque

Activos de información
 PO3. OBJETIVOS DE CONTROL
➢ PO3.1 PLANEACIÓN DE LA DIRECCIÓN
TECNOLÓGICA Analizar las tecnologías existentes y
emergentes y planear cuál dirección tecnológica es
apropiada tomar para materializar la estrategia de TI
y la arquitectura de sistemas del negocio.
➢ PO3.2 PLAN DE INFRAESTRUCTURA
TECNOLÓGICA.
➢ PO3.3 MONITOREO DE TENDENCIAS Y
REGULACIONES FUTURAS
➢ PO3.4 ESTÁNDARES TECNOLÓGICOS
➢ PO3.5 CONSEJO DE ARQUITECTURA DE TI
Establecer un comité de arquitectura de TI que
proporcione directrices sobre la arquitectura y
asesoría sobre su aplicación, y que verifique el
cumplimiento.
 PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE
TI
➢ Una organización de TI se debe definir
tomando en cuenta los requerimientos ➢ Para controlar el proceso de TI se
de personal, funciones, rendición de deben definir los procesos y relaciones
cuentas, autoridad, roles, que satisfacen el requerimiento del
responsabilidades y supervisión. La negocio de TI
organización está embebida en un ➢ Se enfoca en el establecimiento de
marco de trabajo de procesos de TI estructuras organizacionales
que asegure la transparencia y el transparentes y flexibles.
control, así como el involucramiento
de los altos ejecutivos y de la gerencia
del negocio.
OBJETIVOS DE
CONTROL
 Marco de trabajo de procesos de TI
PO4.1 → Define un marco de trabajo para el proceso de TI para ejecutar el plan estratégico

Comité Estratégico de TI
Establecer un comité a nivel de consejo, deberá asegurar que el gobierno de TI se maneje de forma
PO4.2 adecuada

Comité directivo de TI
PO4.3 Establecer un comité que estará compuesto por la gerencia ejecutiva.

Ubicación Organizacional de la función de TI

Ubicar la función de TI dentro de la estructura organizacional general con un modelo de negocios
PO4.4
enfocado a la importancia de TI dentro de la empresa

Estructura Organizacional
Establecer una estructura organizacional interna y externa que refleje las necesidades del
negocio.
PO4.5
 Establecimiento de roles y responsabilidades
PO4.6 Definir y comunicar los roles y las responsabilidades para el personal de TI y los usuarios que delimiten
la autoridad

Responsabilidad de Aseguramiento de calidad de TI

PO4.7 asignar la responsabilidad para el desempeño de la función de aseguramiento de calidad

Responsabilidad y el cumplimiento sobre el riesgo, la seguridad y el cumplimiento

PO4.8 Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel apropiado

Propiedad de Datos y de Sistemas

Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus
PO4.9
responsabilidades de propiedad sobre los datos y los sistemas de informacion.

Supervisión
Implementar prácticas adecuadas de supervisión que garanticen que los roles y las responsabilidades se
PO4.10 ejerzan de forma apropiada.
 Segregación de funciones
PO4.11 Implementar una división de roles y responsabilidades que reduzca la posibilidad de que un solo
individuo afecte negativamente un proceso crítico.

Personal de TI
Evaluar los requerimientos de personal de forma regular o cuando existan cambios importantes en el
PO4.12 ambiente de negocios..

Personal Clave de TI
PO4.13 Definir e identificar a dicho personal que desempeña una función de trabajo y minimizar la dependencia

Políticas y procedimientos para personal contratado

Asegurar que los consultores el personal contratado que soporta la función de TI cumplan con las
PO4.14
políticas organizacionales de protección de los activos de información

Relaciones
Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre la función de
PO4.15 TI y otros interesados.
PO5: Administrar la inversión en TI
Proceso
Presupuestal
Proceso
Presupuestal

Marco de Trabajo para

la admon. Financiera

Admon. de Admon. de
Costos Beneficios
 Directrices Gerenciales
DESDE ENTRADAS SALIDAS HACIA

PO1 Planes estratégicos y tácticos de TI, Reportes de costo / beneficio P01 AI2 DS6 E1 ME4
portafolios de proyectos y servicios

PO3 Requerimientos de infraestructura Presupuestos de TI DS6

PO10 Portafolio de proyectos de TI actualizado Portafolio actualizado de servicios de TI DS1

AI1 Información sobre el desempeño y la Portafolio actualizado de proyectos de TI P010

capacidad

AI7 Revisiones post-implantación

DS3 Plan de desempeño y de capacidad

(requerimientos)

DS6 Finanzas de TI

ME4 Resultados esperados para el negocio

provenientes de inversiones en TI
Tabla de Funciones RACI
 Metas y Métricas de Actividades e Indicadores
Metas de Actividades Indicadores Clave de Desempeño

➢ Definir criterios formales de inversión. 1. Se estiman %de proyectos que presentarán

➢ Pronóstico y asignación de presupuestos 2.
➢ Medición y evaluación del valor para el negocio 3.
en comparación con el pronóstico
beneficios por adelantado (PO5.1)
Se calculan los % para costos, y de revisión
post-proyecto
% de proyectos que proveen de reportes
(PO5.3)

Metas de Procesos
➢ Facilitar la toma de decisiones para los 1. # de desv. de acuerdo al presupuesto PO5.3
portafolios de inv. 2. % de desv. total del presupuesto
➢ De acuerdo a las decisiones tomadas, dar 3. % de la reducción unitaria del serv. de TI
seguimiento a los presupuestos de port. de inv. de prestado
TI 4. % de Inversiones en TI que generan los
➢ Optimizar costos y maximizar beneficios beneficios predefindos
Metas y Métricas de actividades e Indicadores
Metas de TI
➢ Aumentar la rentabilidad y la
contribución de TI a las utilidades de la
empresa
➢ Asegurar que el proceso es transparente
con los costos, beneficios, estrategias,
políticas y serv.
➢ Demostrar que TI es un serv. rentable,
ofrece calidad de serv. y es apta para la
mejora continua.
Indicadores Clave de Metas de TI
➢ % de inv. en TI que exceden o
satisfacen los beneficios definidos por el
negocio.
➢ % de impulsores de valor de TI con
equivalencia en los impulsores de valor
del negocio
➢ % de gasto de TI expresado en
impulsores de valor del negocio (Ej.
incremento en ventas debido a una
mejor conectividad)
 PO6: Comunicar las Aspiraciones y la Dirección de la Gerencia.
1) Definir una filosofía
administrativa y un estilo
operativo, para generar los
elementos de control de TI
Enfoque empresarial hacia el
control interno → entrega de
valor y protección de rec. de TI.
Compuesto por: Marco de proc.
de TI y el S. admon. de calidad.
Su meta es maximizar valor
agregado y minimizar riesgos.
6.4 y 6.5
PO6.5 Comunicación
comunican 6.1 de los objetivos y la
y 6.2 dirección de TI
2) Expectativas de
PO6.1 Ambiente de políticas y de
requerimientos/entregas de
control
acuerdo a la inv. en TI. Riesgos
a asumir, integridad y ética
operativa, competencia del
PO6.2 Riesgo Corporativo y personal, rendición de cuentas,
Marco de Referencia de
responsabilidad, colaboración,
Control Interno de TI
mejora continua.
PO6.3
Administración de Elaborar las políticas de estrategias de
políticas para TI TI, su intención, roles y
responsabilidades, estándares y
directrices. Enfoque en: calidad,
seguridad confidencialidad, controle
PO6.4 Implantación
internos y propiedad intelectual.
de políticas de TI
Enfoque, Requerimientos del Negocio y Recursos
de Información
 Directrices Gerenciales
DESDE ENTRADAS SALIDAS HACIA

P01 Planes estratégicos y tácticos de TI, Marco Empresarial Para Todas

portafolios de proyectos y servicios TI

P09 Directrices de administración de riesgos Políticas de TI Todas

relativos a la TI

ME2 Reportes sobre la efectividad de los

controles de TI
Gráfica de Funciones RACI
 Metas y Métricas de Actividades e Indicadores
Metas de Actividades Indicadores Clave de Desempeño

➢ Definir un marco de control para TI 1. Frecuencia de revisiones / actualizaciones

de las políticas
➢ Elaborar e implantar políticas de TI
2. Tiempo entre la aprobación de las políticas
➢ Reforzar las políticas de TI y la comunicación a los usuarios.

Metas de Procesos
➢ Elaborar un marco de control para TI, que sea 1. % de interesados que entienden las políticas
común e integral de TI
➢ Elaborar un conjunto de políticas de TI que sea 2. % de interesados que entienden el marco de
común e integral control de TI
➢ Comunicar la estrategia, políticas y el marco de 3. % de interesados que no cumplen las
control de TI políticas
 Metas y Métricas de Actividades e Indicadores
Metas de TI
➢ Asegurarse del entendimiento de la
importancia de comprender la
transparencia, costo beneficio, de las
estrategias de TI, de la confiabilidad de las
transacciones automatizadas, de los
intercambios de inf. del negocio, de la
confidencialidad de la inf., de un mínimo
impacto ante un cambio de TI o
interrupción, que el uso de la
infraestructura de TI sea el adecuado y
permitido.
➢ Garantizar la operatividad de la
infraestructura de TI
Indicadores Clave de Metas de TI
➢ # de ocasiones que la confidencialidad
se traspasó.
➢ # de ocasiones que la operatividad de
la empresa se interrumpió debido a
problemas en la infraestructura de TI
➢ Nivel de entendimiento de los
costos-beneficio, de la estrategia,
políticas y niveles (roles, propietarios
de procesos, de TI

Nadie sabe qué está
pasando. La gerencia
no ha reconocido la
necesidad de
establecer políticas,
procedimientos y
estándares.
Modelo de Madurez
La gerencia pone poco
esfuerzo en hacer cumplir
los conjuntos de control,
a pesar de ya haber
reconocido las
necesidades. El entmto es
individual y al momento.
La gerencia implementa un
ambiente de control proactivo y
positivo, se responsabiliza de
comunicar el conjunto de
control. Se evalúa y verifica el
cumplimiento de dicho
conjunto.

0 1 2 3 4 5

La gerencia ha elaborado, Se compara la estrategia

La gerencia es
reactiva a generar
los req. de control.
El conjunto de
control se genera y
comunica ad hoc.
documentado y
comunicado el ambiente
de control, admon. de
calidad y control de inf.
El entrenamiento de
personal es sólido.
con las mejores prácticas
de la industria. El entmto es
automatizado y
computarizado. La
alineación total se revisa y
mejora constantemente
PO7: Administrar recursos humanos de TI
Satisface el requisito de negocio de TI para personas competentes y motivadas
para crear y entregar servicios de TI

Se logra con:

● La revisión del desempeño del personal

● La contratación y entrenamiento de personal de TI para apoyar los planes tácticos de TI
● La mitigación del riesgo de sobre-dependencia de recursos clave
PO7: Administrar recursos humanos de TI
Subprocesos:

● Reclutamiento y Retención del Personal (Políticas de la empresa y habilidades del personal)

● Competencias del personal (Evaluaciones y mantenimientos al personal)
● Asignación de roles (Definir, monitorear y supervisar los marcos de trabajo, políticas de la empresa)
● Entrenamiento del personal de TI (Objetivo alcanzar metas organizacionales)
● Dependencia sobre los individuos (Documentación)
● Procedimientos de Investigación del personal(Frecuencia en funciones críticas)
● Evaluación del desempeño del empleado (VS objetivos individuales)
● Cambios y terminación de trabajo (Privilegios)
PO7: Administrar recursos humanos de TI
Así como otros procesos este utiliza la tabla RACI como herramienta, sus
directrices gerenciales además de sus metas específicas.
PO7: Administrar recursos humanos de TI
PO7: Administrar recursos humanos de TI
La administración de recursos humanos propone los siguientes niveles en la
administración:

● 0-No existente (No conciencia ni responsabilidad)

● 1-Inicial/Ad Hoc (Hay conciencia sobre los cambios)
● 2-Repetible pero intuitiva (Basado en proyectos)
● 3-Proceso definido (Documentación y planes)
● 4-Administrado y medible (Plan de administración, revisiones de desempeño)
● 5-Optimizado (Benchmarking)
PO8: Administrar calidad
Satisface el requisito de negocio de TI para la mejora continua y medible de la calidad de los servicios prestados por TI

se logra con:

● La definición de estándares y prácticas de calidad

● El monitoreo y revisión interna y externa del desempeño contra los estándares y prácticas de calidad definidas
● Mejorar el QMS de manera continua
PO8: Administrar calidad
● Sistema de administración de calidad (Análisis de QMS)
● Estándares y prácticas de calidad (Estándares para QMS)
● Estándares de desarrollo y de adquisición (Adaptación para el desarrollo y
adquisición)
● IT Enfoque en el cliente (Servicio al cliente)
● Mejora continua
● Medición, monitoreo y revisión de la calidad (Continuidad)
PO8: Administrar Calidad
Así como otros procesos este utiliza la tabla RACI como herramienta, sus
directrices gerenciales además de sus metas específicas.
PO8: Administrar Calidad
PO8: Administrar calidad
La administración de calidad propone los siguientes niveles en la administración:

● 0-No existente (Carece)

● 1-Inicial/Ad Hoc (Informalidad)
● 2-Repetible pero intuitiva (Pruebas)
● 3-Proceso definido (Sujeto a mejora)
● 4-Administrado y medible (Ya estructurado)
● 5-Optimizado (Adaptables)
PO9: Evaluar y administrar los riesgos de TI
Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El
marco de trabajo documenta un nivel común y acordado de riesgos de TI,
estrategias de mitigación y riesgos residuales acordados.

ida dad

pli dad

iab to
ad
i
ial

n
d

ilid
li
nc

Co mie
Co cia
ida

Cu nibi
ide
en
tiv

gr

nf
nf
ec

sp
ici

m
te
Ef
Ef

Di
In

S S P P P S S
PO9: Evaluar y administrar los riesgos de TI
Control sobre el proceso TI de
● Evaluar y administrar los riesgos de TI

que satisface el requisito de negocio de TI para

● analizar y comunicar los riesgos de TI y su impacto potencial

enfocándose en
● la elaboración de un marco de trabajo de
administración de riesgos

se logra con
● La realización de evaluaciones de riesgo
● Recomendar y comunicar planes de acciones
para mitigar riesgos

y se mide con
● Porcentaje de objetivos críticos de TI,
riesgos críticos de TI, planes de acción
de administración
PO9: Evaluar y administrar los riesgos de TI
Objetivos de control:

1 Alineación de la administración de riesgos de TI y del negocio

2 Establecimiento del contexto del riesgo
3 Identificación de eventos
4 IT Evaluación de riesgos
5 Respuesta a los riesgos
PO9: Evaluar y administrar los riesgos de TI
PO9: Evaluar y administrar los riesgos de TI
Modelo de Madurez

La administración del proceso de Evaluar y administrar los riesgos de TI que satisfaga el requisito de negocio de TI de
analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y las metas de negocio es:

0 No existente cuando la evaluación de riesgos para los procesos y las decisiones de negocio no ocurre.
1 Inicial/Ad Hoc cuando los riesgos de TI se toman en cuenta de manera ad hoc.
2 Repetible pero intuitiva cuando existe un enfoque de evaluación de riesgos inmaduro y en evolución y se implanta a
discreción de los gerentes de proyecto.
3 Proceso definido cuando una política de administración de riesgos para toda la organización define cuándo y cómo
realizar las evaluaciones de riesgos.
4 Administrado y medible cuando la evaluación y administración de riesgos son procesos estándar.
5 Optimizado cuando la administración de riesgos ha evolucionado al nivel en que un proceso estructurado está
implantado en toda la organización y es bien administrado.
PO10: Administrar proyectos
Establecer un programa y un marco de control administrativo de proyectos
para la administración de todos los proyectos de TI. El marco de trabajo debe
garantizar la correcta asignación de prioridades y la coordinación de todos los
proyectos.

ida dad

pli dad

iab to
ad
i
ial

n
d

ilid
li
nc

Co mie
Co cia
ida

Cu nibi
ide
en
tiv

gr

nf
nf
ec

sp
ici

m
te
Ef
Ef

Di
In

P P
PO10: Administrar proyectos
Control sobre el proceso TI de
● Administrar proyectos

que satisface el requisito de negocio de TI para

● La entrega de resultados de proyectos

enfocándose en
● un programa y un enfoque de administración de
proyectos definidos

se logra con
● La definición e implantación de marcos
● La emisión de directrices administrativas

y se
● mide con
Porcentaje de proyectos que satisfacen expectativas,
con revisión post-implantación, que siguen estándares
y prácticas administrativas
●
PO10: Administrar proyectos
Objetivos de control
1 Marco de trabajo para la administración
de programas
2 Marco de trabajo para la administración
de proyectos
3 Enfoque de administración de proyectos
4 Compromiso de los interesados
5 Estatuto de alcance del proyecto
6 Inicio de las fases del proyecto
7 Plan integrado del proyecto
8 Recursos del proyecto
9 Administración de riesgos del proyecto
10 Plan de calidad del proyecto
11 Control de cambios del proyecto
12 Planeación del proyecto y métodos de
aseguramiento
13 Medición del desempeño, reportes y
monitoreo del proyecto
14 Cierre del proyecto
PO10: Administrar proyectos
PO10: Administrar proyectos
La administración del proceso de Administrar proyectos que satisfaga el requisito de negocio de TI de entregar los
resultados del proyecto en el tiempo, con el presupuesto y con la calidad acordados es:

0 No existente cuando las técnicas de administración de proyectos no se usan

1 Inicial/Ad Hoc cuando el uso de técnicas y enfoques de administración de proyectos dentro de TI es una decisión
individual que se deja a los gerentes de TI.

2 Repetible pero intuitiva cuando la alta dirección ha obtenido y comunicado la conciencia de la necesidad de una
administración de los proyectos de TI.

3 Proceso definido cuando el proceso y la metodología de administración de proyectos de TI han sido establecidos y
comunicados.

4 Administrado y medible cuando la gerencia requiere que se revisen métricas y lecciones aprendidas estandarizadas
y formales después de terminar cada proyecto.

5 Optimizado cuando se encuentra implantada una metodología comprobada de ciclo de vida de proyectos, la cual se
refuerza y se integra en la cultura de la organización completa.