COBIT PO6-PO10

PROFESOR: Pastor Carrasco, Carlos Alberto Alberto

INTEGRANTES: León Silvestre, Cindy Pérez Segovia, Javier Pérez Toledo Sotelo, Angélica Zárate Obregón, Obregón, Noemí

AULA: 408

CICLO: VIII

ME1 Monitorear y evaluar el desempeño de TI. ME2 Monitorear y evaluar el control interno ME3 Garantizar cumplimiento regulatorio. ME4 Proporcionar gobierno de TI.

Objetivos del Negocio

CobiT Seguimiento

Req. Información Efectividad, Eficiencia, Confidencialidad, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Garantizar la continuidad del servicio. DS5 Garantizar la seguridad de los sistemas. DS6 Identificar y asignar costos. DS7 Educar y entrenar a los usuarios. DS8 Administrar la mesa de servicio y los incidentes. DS9 Administrar la configuración. DS10 Administrar los problemas. DS11 Administrar los datos. DS12 Administrar el ambiente físico. DS13 Administrar las operaciones.

Soporte

Recursos de TI

PO1 Definir el plan estratégico de TI. PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica. PO4 Definir procesos, organización y relaciones de TI. PO5 Administrar la inversión en TI.

PO6 Comunicar las aspiraciones y la dirección de la gerencia. PO7 Administrar recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI PO10 Administrar proyectos. proyectos.

Planificación y Organización

Adquisición e Implementación

Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano AI1 Identificar soluciones automatizadas. AI2 Adquirir y mantener el software aplicativo. AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso. AI5 Adquirir recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios.

ME1 Monitorear y evaluar el desempeño de TI. ME2 Monitorear y evaluar el control interno ME3 Garantizar cumplimiento regulatorio. ME4 Proporcionar gobierno de TI.

Objetivos del Negocio

CobiT Seguimiento

Req. Información Efectividad, Eficiencia, Confidencialidad, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Garantizar la continuidad del servicio. DS5 Garantizar la seguridad de los sistemas. DS6 Identificar y asignar costos. DS7 Educar y entrenar a los usuarios. DS8 Administrar la mesa de servicio y los incidentes. DS9 Administrar la configuración. DS10 Administrar los problemas. DS11 Administrar los datos. DS12 Administrar el ambiente físico. DS13 Administrar las operaciones.

Soporte

Recursos de TI

PO1 Definir el plan estratégico de TI. PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica. PO4 Definir procesos, organización y relaciones de TI. PO5 Administrar la inversión en TI.

PO6 Comunicar las aspiraciones y la dirección de la gerencia. PO7 Administrar recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI PO10 Administrar proyectos. proyectos.


Adquisición e Implementación

Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano AI1 Identificar soluciones automatizadas. AI2 Adquirir y mantener el software aplicativo. AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso. AI5 Adquirir recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios.

PAZ CENTENARIO GLOBAL es la unión de las tres empresas inmobiliarias más importantes de Chile, Perú y Ecuador. PAZ ha estado ligada exitosamente a la arquitectura y construcción por más de 40 años. El Grupo Centenario ha sido protagonista durante 80 años del desarrollo inmobiliario del Perú y Global, por su parte, ha entregado a sus clientes por más de 30 años un lugar lugar listo listo para vivir y crecer. crecer.

Programa de Auditoría





 

Criterios de información involucrados en el objetivo Recursos de TI a considerar Objetivos específicos de control a verificar 





Resumen Detallado

Cuestionario de Control Interno

COBIT PLANEAR Y ORGANIZAR

ADQUIRIR E IMPLEMENTAR

MONITOREAR Y EVALUAR

ENTREGAR Y DAR SOPORTE

PROGRAMA DE AUDITORÍA ENTIDAD:

PAZ CENTENARIO GLOBAL S.A.

FECHA DE CORTE:

30.09.2013

Aplicado por:

A.T.S.

Fecha

24/10/2013

Revisado por:

M.M.

Fecha

25/10/2013

Planificación y Organización Comunicar las Aspiraciones y la Dirección de la Gerencia

PO 6

Criterios de información involucrados en el objetivo: Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

S

P

Recursos de TI a considerar: Personas

Aplicaciones

Infraestructura

Información

Objetivos específicos de control a verificar: OBJETIVO GENERAL: La dirección debe elaborar un marco de trabajo de control empresarial para

TI, y definir y comunicar las políticas. Un programa de comunicación continua se debe implementar para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc., aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concienciación y el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes.



Que satisface el requerimiento del negocio de TI para 



Enfocándose en 



Proporcionar políticas, procedimientos, directrices y otra documentación aprobada, de forma precisa y entendible y que se encuentre dentro del marco de trabajo de control de TI a los interesados.

Se logra con   



Una información precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades.

La definición de un marco de trabajo de control de TI. La elaboración e implantación de políticas para TI. El refuerzo de políticas de TI.

Y se mide con 





El número de interrupciones en el negocio debidas a interrupciones en el servicio de TI. El porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa. El porcentaje de interesados que no cumplen las políticas.

ÁREAS DE ENFOQUE DEL GOBIERNO DE TI

ENTREGA DE VALOR

ALIENACIÓN ESTRATÉGICA

ADMINISTRACIÓN DE RIESGOS

GOBIERNO DE TI

Primario Secundario

MEDICIÓN DEL DESEMPEÑO

ADMINISTRACIÓN DE RECURSOS

Evaluación a los Sistemas de Información PROGRAMA DE TRABAJO Nro. Descripción de la Tarea

Resultado

Verificar que el aambiente de control del TI en la compañía se encuentre Satisfactorio 1

2

A232

definido y alienado con los objetivos de la empresa , siendo rentable y optimizando las operaciones.

Verificar su marco de trabajo esta enfocado a los riesgos.

3

Verificar que exista una correcta dirección y control constante en el conjunto de políticas que apoyan la estrategia de TI.

4

Evaluar al personal por medio de un examen sobre sus conocimiento de las políticas de TI.

5

Ref. PT

Revisar la existencia de un manual en el que los interesados están informados de los objetivos y la dirección del negocio.

Satisfactorio

A768

Satisfactorio

A456

Satisfactorio

B678

Satisfactorio

G457

Evaluación a los sistemas de información CUESTIONARIO DE CONTROL INTERNO RUBRO

Planificación y Organización PO 6 Comunicar las Aspiraciones y la Dirección de la Gerencia

Tare a Descripción N. °

1 2 3 4 5 6 7

Respuesta SI

¿Todos los empleados de la Organización están a tanto de sus objetivos, tanto organizacionales como de TI?

X

¿Las políticas de TI implantadas en la empresa son comunicadas al personal oportunamente?

X

¿Las políticas de TI son actualizadas constantemente, según las necesidades de las operaciones empresariales?

X

¿PAZ CENTENARIO GLOBAL fomenta el trabajo en equipo?

X

¿La empresa cuenta con un marco de trabajo de control para TI?

X

¿Dicho marco de trabajo cuenta con medidas preventivas?

X

¿En las políticas de TI se definen los roles y responsabilidades de las mismas?

X

NO

N/A

Comentario o Ref. P/T


Planificación y Organización PO 6 Comunicar las Aspiraciones y la Dirección de la Gerencia


Respuesta SI

8 9 10 11 12 13

¿Se tienen las actas que garanticen la difusión de la información en la empresa?

X

¿Cuenta con un marco de trabajo de control empresarial para TI ?

X

14

¿Existen políticas para TI implementadas en la empresa?

X

¿Las estrategias, políticas y el marco de control de TI se comunican adecuadamente?

X

¿Se le realiza mantenimiento a las políticas que apoyan la estrategia de TI?

X

¿El conjunto de políticas establecidas en las TI incluyen responsabilidades, enfoques de cumplimiento y referencia a este?

X

¿Se garantizan que las políticas de TI sean parte integral de las operaciones empresariales?

X

NO

N/A




FECHA DE CORTE:

30.09.2013

Aplicado por:

C.L.S.

Fecha

24/10/2013

Revisado por:

M.M.

Fecha

25/10/2013


Administrar Recursos Humanos de TI

PO 7

Criterios de información involucrados en el objetivo: Efectividad P

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

P


Aplicaciones

Infraestructura

Información

Objetivos específicos de control a verificar: OBJETIVO GENERAL: Incrementar las contribuciones del personal en los

procesos de TI, satisfaciendo así los requerimientos de la empresa, mediante técnicas sólidas para la administración de personal, tomando en consideración: El reclutamiento y promoción considerando factores como la educación, experiencia y la responsabilidad. Los requerimientos de calificaciones, el personal deberá estar calificado, tomando como base una educación, entrenamiento y experiencia apropiados. La capacitación para incrementar los niveles de habilidad técnica y administrativa de nuestros colaboradores. La evaluación objetiva y medible del desempeño se dará al final de cada mes.


ENTREGA DE VALOR



GOBIERNO DE TI

Primario Secundario




Resultado

1

Asegurar que los procesos de reclutamiento del personal de Satisfactorio TI estén de acuerdo a las políticas y procedimientos generales de personal de la empresa.

2

Verificar periódicamente que el personal tenga las Satisfactorio competencias para cumplir sus funciones con base en su educación, formación y / o experiencia.

3

Monitorear y supervisar las funciones, responsabilidades y los marcos de compensación para el personal, incluida la Satisfactorio obligación de adherirse a las políticas y procedimientos de gestión, al código de ética y prácticas profesionales.

4

Se proporciona a los empleados de TI la orientación necesaria al momento de la contratación y capacitación continuo para conservar su conocimiento, aptitudes, habilidades, controles Satisfactorio internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas organizacionales.

Ref. PT


Planificación y Organización PO 7 Administrar Recursos Humanos de TI


1

El plan de administración de recursos humanos de TI se actualiza de forma constante para satisfacer los cambios requeridos por el negocio.

2

La administración de recursos humanos de TI está integrada y responde a la dirección estratégica de la entidad.

3 4

Los componentes de la administración de recursos humanos de TI son consistentes con las mejores prácticas de la industria, tales como compensación, revisiones de desempeño, participación en foros de la industria, transferencia de conocimiento y tutorías. Los programas de capacitación se desarrollan para todos los nuevos estándares tecnológicos y productos antes de su implementación en la organización.

Respuesta SI

NO

N/A


X

Se contrató los servicios de terceros para captar y evaluar a los postulantes.

X

El área de Gestión Humana se reúne con los directivos de la empresa.

X

X

Todos los colaboradores son evaluados al final de cada mes utilizando el TASK MANAGER y el SIGI. Las capacitaciones se dan mediante el pedido del jefe de área, luego son aprobados por la jefa de Gestión


FECHA DE CORTE:


30.09.2013

Aplicado por:

N.Z.O

Fecha

24/10/2013

Revisado por:

M.M.

Fecha

25/10/2013

Planificación y Organización Administrar Calidad

PO 8

Criterios de información involucrados en el objetivo: Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

P

P

Confiabilidad

S


Aplicaciones

X

X

Infraestructura

Información X

Objetivos del control a verificar: OBJETIVO GENERAL: Satisfacer

los requerimientos del cliente, para lo cual se realiza una planeación, implementación y mantenimiento de estándares y sistemas de administración de calidad por parte de la organización.


ENTREGA DE VALOR



GOBIERNO DE TI

Primario Secundario




Resultado

1

Definir y mantener regularmente un plan de calidad, el cual deberá promover la filosofía de mejora continua y contestar a las preguntas básicas de qué, quién y cómo.

2

Revisar periódicamente las actividades de aseguramiento de Satisfactorio calidad para alcanzar los objetivos del plan general de calidad

3

Documentar las pruebas de sistemas y programas

4

Revisar y reportar el aseguramiento de calidad.

Satisfactorio

Satisfactorio

Satisfactorio

Ref. PT

Evaluación a losy Organización sistemas de información Planificación RUBRO PO 8

Administrar Calidad

CUESTIONARIO DE CONTROL INTERNO Ta re a N .

Descripción

°

3 4

NO

N/ A


El Plan de Aseguramiento de Calidad se implementó de acuerdo a estándares que acrediten el éxito de la entidad.

La entidad requirió de los servicios de un tercero especializado en la implementación de Planes de Aseguramiento de Calidad.

El Plan de Aseguramiento de Calidad se ejecuta de forma adecuada.

X

La entidad cuenta con un Área encargada de supervisar y controlar la calidad.

X

La documentación y los reportes se cruzaron con los datos del sistema.

1

2

SI

Respuesta

X

Se obtuvieron la documentación y reportes del sistema y los programas y se verificó que son fidedignos

Los Reportes de Revisiones de Aseguramiento de Calidad se obtienen periódicamente.

X

Los Reportes de Revisiones de Aseguramiento de Calidad se obtienen trimestralmente.


FECHA DE CORTE:


30.09.2013

Aplicado por:

J.P.S.

Fecha

24/10/2013

Revisado por: Planificación y Organización

M.M.

Fecha

25/10/2013

Evaluar y administrar riesgos de TI

PO 9

Criterios de información involucrados en el objetivo: Efectividad S

Eficiencia

Confidencialidad

S

P

Integridad P

Disponibilidad

Cumplimiento

P

S

Confiabilidad S


Aplicaciones

Infraestructura

Información

X

X

X

X

Objetivos del control a verificar:

Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones de la administración en alcanzar los objetivos de TI y en responder a las amenazas reduciendo la complejidad, aumentando la objetividad e identificando factores de decisión importantes. OBJETIVO GENERAL:


ENTREGA DE VALOR



GOBIERNO DE TI

Primario Secundario




Resultado

1

Evaluación de Riesgos del Negocio

Satisfactorio

2

Enfoque de Evaluación de Riesgos

Satisfactorio

3

Identificación y medición de Riesgos

Satisfactorio

4

Plan de Acción contra Riesgos

Satisfactorio

Ref. PT

Evaluación a los sistemas de información CUESTIONARIO DE CONTROL INTERNO RUBRO Tare aN . °

1

Planificación y Organización PO 9 Evaluar y administrar riesgos de TI

Descripción

ESTABLECIMIENTO DE POLÍTICAS Y PROCEDIMIENTOS DE EVALUACIÓN DE RIESGOS La administración deberá establecer un foro Gerencial, para asegurarse que exista una dirección clara de las iniciativas de seguridad Responsable de la implementación: Gerente General Plazo: 9 meses.

Respuesta SI NO N/A

X

PCG cuenta con una Metodología, Frecuencia de evaluación. Además, mantiene actualizadas las evaluaciones de riesgo, resultados de auditorías, inspecciones e incidentes.

X

Se contrató a un Especialista de Seguridad. Su función principal es la de identificar amenazas. Además, PCG cuenta con un especialista de TI para identificar los

2 REVISIONES DE GRUPOS ESPECIALIZADOS La Gerencia solicita la revisión independiente de grupos especializados de seguridad y de tecnología de Información. Responsable de la implementación: Gerente General y Gerencia de Sistemas Plazo: 3 meses.


3 4

EVALUAR Y PRIORIZAR RIESGOS Especialistas de seguridad deben realizar identificación de amenazas y especialistas de TI deben dirigir la selección de controles

DEFINICIÓN DE UN MARCO REFERENCIAL DE RIESGOS Establecer una evaluación sistemática de riesgos incorporando: *Los riesgos de información relevantes para el logro de los objetivos de la organización. *Base de datos para determinar la forma en la que los riesgos deben ser manejados a un nivel aceptable. *El alcance y los límites de la evaluación de riesgos. Responsable de la implementación: Gerente General Plazo: 2 meses

X

X

Existe un método estructurado por asesores expertos en riesgos. PCG cuenta con un plan de acción contra riesgos para asegurar que el costo–efectividad de los controles y las medidas de seguridad mitiguen los riesgos en forma continua. El plan de acción contra los riesgos identifica estrategias de riesgos en términos de evitar, mitigar o aceptar el riesgo.



FECHA DE CORTE:

30.09.2013

Aplicado por:

A.T.S.

Fecha

24/10/2013

Revisado por:

M.M.

Fecha

25/10/2013


Administración de Proyectos

PO 10

Criterios de información involucrados en el objetivo: Efectividad P

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

P


Aplicaciones

Infraestructura

Información

Objetivos específicos de control a verificar: OBJETIVO GENERAL: Establecer un marco de trabajo de administración de programas y proyectos para la administración de todos los proyectos de TI establecidos. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos l os proyectos. El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y post-implantación después de la instalación para garantizar la administración de los riesgos del proyecto y la entrega de valor para el negocio. Este enfoque reduce el riesgo de costos inesperados y de cancelación de proyectos, mejora la comunicación y el involucramiento del negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza la contribución



Que satisface el requerimiento del negocio de TI para 



Enfocándose en 



Un programa y un enfoque de administración de proyectos definidos, el cual se aplica a todos los proyectos de TI, lo cual facilita la participación de los interesados y el monitoreo de los riesgos y los avances de los proyectos.

Se logra con 

 



La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados.

La definición e implantación de marcos de trabajo y enfoques de programas y de proyectos. La emisión de directrices de administración para proyectos. La planeación de proyectos para todos los proyectos incluidos en el portafolio de proyectos.

Y se mide con 

 

Porcentaje de proyectos que satisfacen las expectativas de los interesados (a tiempo, dentro del presupuesto, y con satisfacción de los requerimientos – ponderados por importancia) Porcentaje de proyectos con revisión post-implantación Porcentaje de proyectos que siguen estándares y prácticas de administración de proyectos.

ÁREAS DE ENFOQUE DEL GOBIERNO DE TI ENTREGA DE VALOR



GOBIERNO DE TI


Primario Secundario



Resultado

1

Anotar las entradas del proceso (Documentos, materiales, Satisfactorio herramientas, programas, etc.) y su proveedor.

2

Descripción del proceso

3

Anotar las salidas del proceso (Productos, documentos, Satisfactorio software, hardware) y sus clientes y usuarios.

4

Entrevistar a las partes interesadas sobre el conocimiento del proyecto y ejecución del mismo, hacer pruebas al personal Satisfactorio para medir su eficiencia.

5

Verificar si la empresa cuenta con un ISO y otro certificado equivalente de control de calidad .

Satisfactorio

Satisfactorio

Ref. PT


Planificación y Organización PO 10 Administración de Proyectos

Tare a Descripción N. ¿La empresa cuenta con un marco de trabajo para la administración de programas en el cual los proyectos apoyen los objetivos del programa? °

1

Respuesta SI

X

2 3 4

¿La empresa cuenta con un portafolio de servicios?

X

¿La empresa tiene definida la metodologías aplicadas a cada proyecto?

X

¿La empresa cuenta con una estructura de gobiernos de proyectos (roles, responsabilidades, rendición de cuentas del patrocinado, comité de dirección, gerente y mecanismos para satisfacer estas responsabilidades)?

X

5

¿Se encuentra definida la naturaleza y alcance del proyecto, y la manera en que se relaciona con otros proyectos?

X

6

¿Se comunica a todos los interesados del proyecto las etapas importantes y aprobación del inicio de este?

X

NO

N/A



Planificación y Organización PO 10 Administración de Proyectos


7

¿La empresa cuenta con un plan integrado para cada proyecto?

8

¿La empresa cuenta con un adecuado control de riesgos del proyecto por medio del cual se minimiza el impacto de estos sobre cada una de las actividades? ¿Utilizan estándares para la administración de proyectos?

9

Respuesta SI

X X

X

NO

N/A


COBIT PO6-PO10

Recommend Documents