Planificación y organización en COBIT
La planificación y organización de COBIT se basa en:
- Definición de un plan estratégico de tecnología de la información.
- Definición de la arquitectura de la información.
- Determinación de la dirección tecnológica.
- Definición de procesos, organización y relaciones de tecnología de la información (IT).
- Administración de la inversión en tecnología de la información.
- Comunicación de las aspiraciones.
- Dirección de la gerencia.
- Administración de los recursos humanos de tecnología de la información.
- Administración de la calidad.
- Evaluación y administración de los riesgos de las tecnologías de la información.
- Administración de proyectos.
Definir un Plan Estratégico de Tecnología de la Información
[editar]La planeación estratégica de Tecnología de la Información es necesaria para gestionar y dirigir todos los recursos de Tecnología de la Información en línea con la estrategia y prioridades del negocio a función de Tecnología de la Información y los interesados del negocio son responsables de asegurar que el valor óptimo se consigue desde los proyectos y el portafolio de servicios.
Objetivos de Control:
- 1 Administración del Valor de Tecnología de la Información.
- 2 Alineación de Tecnología de la Información con el Negocio.
- 3 Evaluación del Desempeño y la Capacidad Actual.
- 4 Plan Estratégico de Tecnología de la Información.
- 5 Planes Tácticos de Tecnología de la Información.
Definir la Arquitectura de la Información
[editar]La función de sistemas de información debe crear y actualizar de forma regular un modelo de información del negocio y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la organización, el esquema de clasificación de datos y los niveles de seguridad.
Objetivos de Control:
- 1 Modelo de Arquitectura de Información Empresarial.
- 2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos.
- 3 Esquema de Clasificación de Datos.
- 4 Administración de Integridad.
Determinar la Dirección Tecnológica
[editar]La función de servicios de información debe determinar la dirección tecnológica para dar soporte al negocio. Esto requiere de la creación de un plan de infraestructura tecnológica y de un comité de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación.
Objetivos de Control:
- 1 Planeación de la Dirección Tecnológica.
- 2 Plan de Infraestructura Tecnológica.
- 3 Monitoreo de Tendencias y Regulaciones Futuras.
- 4 Estándares Tecnológicos.
- 5 Consejo de Arquitectura de Tecnología de la información.
Definir los Procesos, Organización y Relaciones de Tecnología de la información
[editar]Una organización de Tecnología de la Información se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco de trabajo de procesos de Tecnología de la Información que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre Tecnología de la Información, y uno ó más comités de dirección, en los cuales participen tanto el negocio como Tecnología de la Información, deben determinar las prioridades de los recursos de Tecnología de la Información alineados con las necesidades del negocio. Deben existir procesos, políticas de administración y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de funciones.
Objetivos de Control:
- 1 Marco de Trabajo de Procesos de Tecnológica de la Información.
- 2 Comité Estratégico de Tecnológica de la Información.
- 3 Comité Directivo de Tecnológica de la Información.
- 4 Ubicación Organizacional de la Función de Tecnológica de la Información.
- 5 Estructura Organizacional.
- 6 Establecimiento de Roles y Responsabilidades.
- 7 Responsabilidad de Aseguramiento de Calidad de Tecnológica de la Información.
- 8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento.
- 9 Propiedad de Datos y de Sistemas.
- 10 Supervisión.
- 11 Segregación de Funciones.
- 12 Personal de Tecnológica de la Información.
- 13 Personal Clave de Tecnológica de la Información.
- 14 Políticas y Procedimientos para Personal Contratado.
- 15 Relaciones.
Administrar la Inversión en Tecnología de la información
[editar]Establecer y mantener un marco de trabajo para administrar los programas de inversión en Tecnología de la Información que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administración contra ese presupuesto.
Objetivos de Control:
- 1 Marco de Trabajo para la Administración Financiera.
- 2 Prioridades Dentro del Presupuesto de Tecnológica de la Información.
- 3 Proceso Presupuestal.
- 4 Administración de Costos de Tecnológica de la Información.
- 5 Administración de Beneficios.
Comunicar las Aspiraciones y la Dirección de la Gerencia
[editar]La dirección debe elaborar un marco de trabajo de control empresarial para Tecnológica de la Información, y definir y comunicar las políticas. Un programa de comunicación continua se debe implementar para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc., aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de Tecnológica de la Información y asegura la concienciación y el entendimiento de los riesgos de negocio y de Tecnológica de la Información. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes.
Objetivos de Control:
- 1 Ambiente de Políticas y de Control.
- 2 Riesgo Corporativo y Marco de Referencia de Control Interno de Tecnológica de la Información.
- 3 Administración de Políticas para Tecnológica de la Información.
- 4 Implantación de Políticas de Tecnológica de la Información.
- 5 Comunicación de los Objetivos y la Dirección de Tecnológica de la Información.
Administrar los Recursos Humanos de TI
[editar]Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal.
Objetivos de Control:
- 1 Reclutamiento y Retención del Personal.
- 2 Competencias del Personal.
- 3 Asignación de Roles.
- 4 Entrenamiento del Personal de Tecnológica de la Información.
- 5 Dependencia Sobre los Individuos.
- 6 Procedimientos de Investigación del Personal.
- 7 Evaluación del Desempeño del Empleado.
- 8 Cambios y Terminación de Trabajo.
Administrar la Calidad
[editar]Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad.
Objetivos de Control:
- 1 Sistema de Administración de Calidad.
- 2 Estándares y Prácticas de Calidad.
- 3 Estándares de Desarrollo y de Adquisición.
- 4 Enfoque en el Cliente de Tecnología de la información.
- 5 Mejora Continua.
- 6 Medición, Monitoreo y Revisión de la Calidad.
Evaluar y Administrar los Riesgos de Tecnología de la información
[editar]Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales. Cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se debe identificar, analizar y evaluar.
Objetivos de control:
- 1 Marco de Trabajo de Administración de Riesgos.
- 2 Establecimiento del Contexto del Riesgo.
- 3 Identificación de Eventos.
- 4 Evaluación de Riesgos de Tecnología de la información.
- 5 Respuesta a los Riesgos.
- 6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos.
Administrar Proyectos
[editar]Establecer un marco de trabajo de administración de programas y proyectos para la administración de todos los proyectos de Tecnología de la información establecidos. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y post-implantación después de la instalación para garantizar la administración de los riesgos del proyecto y la entrega de valor para el negocio.
Objetivos de Control:
- 1 Marco de Trabajo para la Administración de Programas.
- 2 Marco de Trabajo para la Administración de Proyectos
- 3 Enfoque de Administración de Proyectos.
- 4 Compromiso de los Interesados.
- 5 Declaración de Alcance del Proyecto.
- 6 Inicio de las Fases del Proyecto.
- 7 Plan Integrado del Proyecto.
- 8 Recursos del Proyecto.
- 9 Administración de Riesgos del Proyecto.
- 10 Plan de Calidad del Proyecto.
- 11 Control de Cambios del Proyecto.
- 12 Planeación del Proyecto y Métodos de Aseguramiento.
- 13 Medición del Desempeño, Reporte y Monitoreo del Proyecto.
- 14 Cierre del Proyecto.