Escolar Documentos
Profissional Documentos
Cultura Documentos
“Planeación y Organización”
Arellano Manjarrez Cristopher
Barón Hernández Diego Ismael
Bernabé Aparicio María Elsi
Espino Maldonado Eduardo
Gutiérrez Cerda Vladimir
Objetivos de Control para la Información y la
Tecnología relacionada - COBIT
Buenas prácticas
● Marco de trabajo de dominios y procesos.
● Presentar las actividades en una estructura manejable y lógica.
Modelo de procesos
● 34 procesos ● Áreas focales del Gobierno de TI
● Objetivo de control ● Entradas y salidas
● Áreas de responsabilidad ● Metas y métricas
● Recursos de TI ● Modelo de Madurez
Planear y Organizar (PO)
Metas de TI
● incorporación de TI y de la gerencia del negocio.
● Desarrollo de estrategias
Controles clave
● Alinear planeación estratégica de TI con necesidades
del negocio
● Definir: prioridades para objetivos del negocio.
Métricas clave
● % objetivos de TI en plan estratégico
● % proyectos de TI en portafolio de proyectos
● Retraso entre plan estratégico y táctico
PO1 Definir un plan estratégico de TI
Criterios de información
● P - Efectividad ● S - Eficiencia
Áreas focales
Recursos de TI
● Aplicaciones ● Infraestructura
● Información ● Personas
Objetivos de control detallados
Administración del valor de TI
PO1.1
→ Existen diferentes inversiones y asignación de fondos a ellas.
→ Rendición de cuentas del logro de los beneficios es asignada y monitoreada.
Planes tácticos de TI
Describir las iniciativas y los requerimientos de recursos requeridos por TI, y cómo el uso de los recursos
PO1.5
y el logro de los beneficios serán monitoreados y administrados.
eg
ln
ur oría
io
de
es
oc
TI
d
it
os
Je cto cion
PM e ad rollo
ida
y s aud
eg
de
e
es
jef
ln
ón
a
r
oc
go to,
a
eg
en
er
de
m
pr
n
op
de
Ri mie
CI tivo
de
de
de
e
pli
u
p.
uit
d
O
O
ec
es
fe
fe
O
ACTIVIDADES
m
o
fe
CE
q
Je
Pr
Ej
Cu
Ar
Je
Relacionar las metas del negocio con las de TI C I A/R R C
Procesos
Clave de meta de procesos
Definir la estrategia para la entrega de las ofertas de
servicio proporcionando transparencia y » % de objetivos de TI en el plan estratégico de TI que
dan soporte al plan estratégico del negocio.
entendimiento de costos, beneficios, estrategias,
» % de proyectos de TI que se pueden rastrear de
políticas y niveles de servicio de TI. forma directa al plan táctico de TI.
TI Clave de metas de TI
Responder a los requerimientos del negocio en » Grado de aprobación de los propietarios del negocio.
alineación con la estrategia del negocio y responder a
los requerimientos de gobierno alineados con la » Grado de cumplimiento de requisitos de gobierno y de
dirección del consejo directivo. negocio.
Modelo de madurez
0 1 2 3 4 5
La gerencia de TI Una política define La planeación estratégica de TI
conoce la necesidad cómo y cuándo es un proceso que da como
de una planeación realizar la planeación resultado un valor observable
estratégica de TI. estratégica de TI. de negocios por medio de las
inversiones en TI
PO2 Definir la arquitectura de información
Metas de negocio
Objetivo de control de alto nivel Agilizar la respuesta a los requerimientos, proporcionar información confiable y
consistente, para integrar de forma transparente las aplicaciones dentro de los
procesos del negocio
Metas de TI
Establecimiento de un modelo de datos que garantice la integridad y
consistencia de todos los datos.
Controles clave
Métricas clave
● % Elementos de datos redundantes
● % Aplicaciones que no cumplen con arquitectura
PO2 Definir la arquitectura de información
● S - Efectividad ● Aplicaciones
● P - Alineación estratégica
● P - Eficiencia ● Información
● P - Administración de
● S - Confidencialidad recursos
● S - Administración de riesgos
Objetivos de control detallados
Modelo de arquitectura de información empresarial
PO2.1
Establecer y mantener un modelo de información empresarial que facilite el desarrollo de aplicaciones
y las actividades de soporte a la toma de decisiones, consistente con los planes de TI
IT Administración de la integridad
PO2.4 Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los datos
almacenados en formato electrónico.
Directrices Gerenciales
ENTRADAS SALIDAS
eg
ln
ur oría
io
de
es
oc
TI
d
it
os
Je cto cion
PM e ad rollo
ida
y s aud
eg
de
e
es
jef
ln
ón
a
r
oc
go to,
a
eg
en
er
de
m
pr
n
op
de
Ri mie
CI tivo
de
de
de
e
pli
u
p.
uit
d
O
O
ec
es
fe
fe
O
ACTIVIDADES
m
o
fe
CE
q
Je
Pr
Ej
Cu
Ar
Je
Crear y mantener modelo de información C I C R C C C
Procesos
Clave de meta de procesos
Establecer un modelo de datos empresarial para » % de elementos que no son parte del modelo de
reducir la redundancia de los datos y dar soporte datos.
efectivo a la administración de información. » % de aplicaciones que no cumplen con las
arquitecturas de información
TI Clave de metas de TI
Garantizar la integración de las aplicaciones hacia los
» El % de satisfacción de los usuarios respecto al
procesos de negocio y responder a los requisitos de
modelo de información.
negocio de manera alineada con la estrategia del
» % de elementos de datos redundantes / duplicados
negocio para crear agilidad de TI
Modelo de madurez
No existe conciencia de la Se da soporte completo al
importancia de la Surge un proceso de desarrollo e implantación de
arquitectura de la arquitectura de la arquitectura de
información para la información y existen información por medio de
organización. procedimientos similares. métodos y técnicas formales.
0 1 2 3 4 5
La gerencia reconoce la La importancia de la
La arquitectura de
necesidad de una arquitectura de la
información es reforzada
arquitectura de información se entiende y
de forma consistente a
información. se acepta.
todos los niveles.
PO3: Determinar la dirección tecnológica
➢ La función de servicios de información debe
determinar la dirección tecnológica para dar
soporte al negocio, para esto requiere de un
plan de infraestructura tecnológica y de crear
un consejo de arquitectura que establezca y
administre expectativas realistas y claras de lo
que la tecnología puede ofrecer en términos
de productos, servicios y mecanismos de
aplicación.
➢ El plan se debe actualizar de forma regular y
abarca aspectos tales como arquitectura de
sistemas, dirección tecnológica, planes de
adquisición, estándares, estrategias de
migración y contingencias.
Criterios de información Áreas de enfoque
Activos de información
PO3. OBJETIVOS DE CONTROL
➢ PO3.1 PLANEACIÓN DE LA DIRECCIÓN
TECNOLÓGICA Analizar las tecnologías existentes y
emergentes y planear cuál dirección tecnológica es
apropiada tomar para materializar la estrategia de TI
y la arquitectura de sistemas del negocio.
➢ PO3.2 PLAN DE INFRAESTRUCTURA
TECNOLÓGICA.
➢ PO3.3 MONITOREO DE TENDENCIAS Y
REGULACIONES FUTURAS
➢ PO3.4 ESTÁNDARES TECNOLÓGICOS
➢ PO3.5 CONSEJO DE ARQUITECTURA DE TI
Establecer un comité de arquitectura de TI que
proporcione directrices sobre la arquitectura y
asesoría sobre su aplicación, y que verifique el
cumplimiento.
PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE
TI
➢ Una organización de TI se debe definir
tomando en cuenta los requerimientos ➢ Para controlar el proceso de TI se
de personal, funciones, rendición de deben definir los procesos y relaciones
cuentas, autoridad, roles, que satisfacen el requerimiento del
responsabilidades y supervisión. La negocio de TI
organización está embebida en un ➢ Se enfoca en el establecimiento de
marco de trabajo de procesos de TI estructuras organizacionales
que asegure la transparencia y el transparentes y flexibles.
control, así como el involucramiento
de los altos ejecutivos y de la gerencia
del negocio.
OBJETIVOS DE
CONTROL
Marco de trabajo de procesos de TI
PO4.1 → Define un marco de trabajo para el proceso de TI para ejecutar el plan estratégico
Comité Estratégico de TI
Establecer un comité a nivel de consejo, deberá asegurar que el gobierno de TI se maneje de forma
PO4.2 adecuada
Comité directivo de TI
PO4.3 Establecer un comité que estará compuesto por la gerencia ejecutiva.
Estructura Organizacional
Establecer una estructura organizacional interna y externa que refleje las necesidades del
negocio.
PO4.5
Establecimiento de roles y responsabilidades
PO4.6 Definir y comunicar los roles y las responsabilidades para el personal de TI y los usuarios que delimiten
la autoridad
Supervisión
Implementar prácticas adecuadas de supervisión que garanticen que los roles y las responsabilidades se
PO4.10 ejerzan de forma apropiada.
Segregación de funciones
PO4.11 Implementar una división de roles y responsabilidades que reduzca la posibilidad de que un solo
individuo afecte negativamente un proceso crítico.
Personal de TI
Evaluar los requerimientos de personal de forma regular o cuando existan cambios importantes en el
PO4.12 ambiente de negocios..
Personal Clave de TI
PO4.13 Definir e identificar a dicho personal que desempeña una función de trabajo y minimizar la dependencia
Relaciones
Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre la función de
PO4.15 TI y otros interesados.
PO5: Administrar la inversión en TI
Proceso
Presupuestal
Proceso
Presupuestal
Admon. de Admon. de
Costos Beneficios
Directrices Gerenciales
DESDE ENTRADAS SALIDAS HACIA
PO1 Planes estratégicos y tácticos de TI, Reportes de costo / beneficio P01 AI2 DS6 E1 ME4
portafolios de proyectos y servicios
DS6 Finanzas de TI
Metas de Procesos
➢ Facilitar la toma de decisiones para los 1. # de desv. de acuerdo al presupuesto PO5.3
portafolios de inv. 2. % de desv. total del presupuesto
➢ De acuerdo a las decisiones tomadas, dar 3. % de la reducción unitaria del serv. de TI
seguimiento a los presupuestos de port. de inv. de prestado
TI 4. % de Inversiones en TI que generan los
➢ Optimizar costos y maximizar beneficios beneficios predefindos
Metas y Métricas de actividades e Indicadores
Metas de TI Indicadores Clave de Metas de TI
Metas de Procesos
➢ Elaborar un marco de control para TI, que sea 1. % de interesados que entienden las políticas
común e integral de TI
➢ Elaborar un conjunto de políticas de TI que sea 2. % de interesados que entienden el marco de
común e integral control de TI
➢ Comunicar la estrategia, políticas y el marco de 3. % de interesados que no cumplen las
control de TI políticas
Metas y Métricas de Actividades e Indicadores
Metas de TI Indicadores Clave de Metas de TI
0 1 2 3 4 5
Se logra con:
se logra con:
ida dad
pli dad
iab to
ad
i
ial
n
d
ilid
li
nc
Co mie
Co cia
ida
Cu nibi
ide
en
tiv
gr
nf
nf
ec
sp
ici
m
te
Ef
Ef
Di
In
S S P P P S S
PO9: Evaluar y administrar los riesgos de TI
Control sobre el proceso TI de
● Evaluar y administrar los riesgos de TI
enfocándose en
● la elaboración de un marco de trabajo de
administración de riesgos
se logra con
● La realización de evaluaciones de riesgo
● Recomendar y comunicar planes de acciones
para mitigar riesgos
y se mide con
● Porcentaje de objetivos críticos de TI,
riesgos críticos de TI, planes de acción
de administración
PO9: Evaluar y administrar los riesgos de TI
Objetivos de control:
La administración del proceso de Evaluar y administrar los riesgos de TI que satisfaga el requisito de negocio de TI de
analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y las metas de negocio es:
0 No existente cuando la evaluación de riesgos para los procesos y las decisiones de negocio no ocurre.
1 Inicial/Ad Hoc cuando los riesgos de TI se toman en cuenta de manera ad hoc.
2 Repetible pero intuitiva cuando existe un enfoque de evaluación de riesgos inmaduro y en evolución y se implanta a
discreción de los gerentes de proyecto.
3 Proceso definido cuando una política de administración de riesgos para toda la organización define cuándo y cómo
realizar las evaluaciones de riesgos.
4 Administrado y medible cuando la evaluación y administración de riesgos son procesos estándar.
5 Optimizado cuando la administración de riesgos ha evolucionado al nivel en que un proceso estructurado está
implantado en toda la organización y es bien administrado.
PO10: Administrar proyectos
Establecer un programa y un marco de control administrativo de proyectos
para la administración de todos los proyectos de TI. El marco de trabajo debe
garantizar la correcta asignación de prioridades y la coordinación de todos los
proyectos.
ida dad
pli dad
iab to
ad
i
ial
n
d
ilid
li
nc
Co mie
Co cia
ida
Cu nibi
ide
en
tiv
gr
nf
nf
ec
sp
ici
m
te
Ef
Ef
Di
In
P P
PO10: Administrar proyectos
Control sobre el proceso TI de
● Administrar proyectos
enfocándose en
● un programa y un enfoque de administración de
proyectos definidos
se logra con
● La definición e implantación de marcos
● La emisión de directrices administrativas
y se
● mide con
Porcentaje de proyectos que satisfacen expectativas,
con revisión post-implantación, que siguen estándares
y prácticas administrativas
●
PO10: Administrar proyectos
Objetivos de control 7 Plan integrado del proyecto
8 Recursos del proyecto
1 Marco de trabajo para la administración 9 Administración de riesgos del proyecto
de programas 10 Plan de calidad del proyecto
2 Marco de trabajo para la administración 11 Control de cambios del proyecto
de proyectos 12 Planeación del proyecto y métodos de
3 Enfoque de administración de proyectos aseguramiento
4 Compromiso de los interesados 13 Medición del desempeño, reportes y
5 Estatuto de alcance del proyecto monitoreo del proyecto
6 Inicio de las fases del proyecto 14 Cierre del proyecto
PO10: Administrar proyectos
PO10: Administrar proyectos
La administración del proceso de Administrar proyectos que satisfaga el requisito de negocio de TI de entregar los
resultados del proyecto en el tiempo, con el presupuesto y con la calidad acordados es:
1 Inicial/Ad Hoc cuando el uso de técnicas y enfoques de administración de proyectos dentro de TI es una decisión
individual que se deja a los gerentes de TI.
2 Repetible pero intuitiva cuando la alta dirección ha obtenido y comunicado la conciencia de la necesidad de una
administración de los proyectos de TI.
3 Proceso definido cuando el proceso y la metodología de administración de proyectos de TI han sido establecidos y
comunicados.
4 Administrado y medible cuando la gerencia requiere que se revisen métricas y lecciones aprendidas estandarizadas
y formales después de terminar cada proyecto.
5 Optimizado cuando se encuentra implantada una metodología comprobada de ciclo de vida de proyectos, la cual se
refuerza y se integra en la cultura de la organización completa.