1. Planeación y
Organización
Adquisición de
(PO)
Implantación
(AI) Entrega de
Servicios y
Soporte (DS) Monitorear
y Evaluar
(ME)
2. Dominio 1: Planeación y Organización (PO)
Cubre las estrategias y las . Este dominio cubre los siguientes cuestionamientos típicos de la gerencia:
tácticas, y tiene que ver con ¿Están alineadas las estrategias de TI y del negocio?
identificar la manera en que ¿La empresa está alcanzando un uso óptimo de sus recursos?
TI puede contribuir de la ¿Entienden todas las personas dentro de la organización los objetivos de TI?
mejor manera al logro de los ¿Se entienden y administran los riesgos de TI?
objetivos del negocio. ¿Es apropiada la calidad de los sistemas de TI para las necesidades del
negocio?
Además, la realización
de la visión estratégica
requiere ser planeada,
comunicada y
administrada desde
diferentes
perspectivas.
Finalmente, se debe
implementar una estructura
organizacional y una
estructura tecnológica
apropiada.
3. Dominio 2: Adquisición de Implantación (AI)
Para llevar a cabo la estrategia Además, el cambio y el
de TI, las soluciones de TI mantenimiento de los
necesitan ser identificadas sistemas existentes está
,desarrolladas o adquiridas así cubierto por este dominio
como implementadas e para garantizar que las
integradas en los procesos del soluciones sigan
negocio. satisfaciendo los objetivos
del negocio.
Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:
¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?
¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto?
¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
¿Los cambios no afectarán a las operaciones actuales del negocio?
4. Dominio 3: Entrega de Servicios y Soporte (DS)
Este dominio cubre :
•La entrega en sí de los servicios requeridos
•Lo que incluye la prestación del servicio
•La administración de la seguridad y de la continuidad
•El soporte del servicio a los usuarios
•La administración de los datos y de las instalaciones operativos.
Por lo general cubre las siguientes
preguntas de la gerencia:
¿Se están entregando los servicios de
TI de acuerdo con las prioridades del
negocio?
¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de
utilizar los sistemas de TI de manera
productiva y segura?
¿Están implantadas de forma adecuada
la confidencialidad, la integridad y la
disponibilidad?
5. Dominio 4: Monitorear y Evaluar (ME)
Todos los procesos de TI deben evaluarse . Este dominio abarca la
de forma regular en el tiempo en cuanto administración del desempeño, el
a su calidad y cumplimiento de los monitoreo del control interno, el
requerimientos de control. cumplimiento regulatorio y la
aplicación del gobierno.
Por lo general abarca las siguientes preguntas de la gerencia:
¿Se mide el desempeño de TI para detectar los problemas antes
de que sea demasiado tarde?
¿La Gerencia garantiza que los controles internos son efectivos
y eficientes?
¿Puede vincularse el desempeño de lo que TI ha realizado con
las metas del negocio?
¿Se miden y reportan los riesgos, el control, el cumplimiento y
el desempeño?
6. Dominio 1: Planeación y Organización
PO1. Definir un Plan Estratégico
La planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la
estrategia y prioridades del negocio. La función de TI y los interesados del negocio son responsables de
asegurar que el valor óptimo se consigue desde los proyectos y el portafolio de servicios.
Control sobre el proceso TI de Definir un Plan Estratégico.
Que satisface el requerimiento del negocio de TI para sostener o extender los requerimientos de gobierno y de la
estrategia del negocio, al mismo tiempo que se mantiene la transparencia sobre los beneficios, costos y riesgos.
Se enfoca en la incorporación de TI y de la gerencia del negocio en la traducción de los requerimientos del
negocio a ofertas de servicio, y el desarrollo de estrategias para entregar estos servicios de una forma transparente
y rentable.
7. Se logra Se mide
con: con:
El compromiso con la alta El porcentaje de objetivos de
gerencia y con la gerencia del TI en el plan estratégico de
negocio para alinear la TI, que dan soporte al plan
planeación estratégica de TI estratégico del negocio.
con las necesidades del
negocio actuales y futuras. El porcentaje de proyectos TI
en el portafolio de proyectos
El entendimiento de las que se pueden rastrear hacia
capacidades actuales de TI. el plan táctico de TI.
La aplicación de un esquema El retraso entre las
de prioridades para los actualizaciones del plan
objetivos del negocio que estratégico de TI y las
cuantifique los actualizaciones de los planes
requerimientos del negocio. tácticos de TI
Objetivos
de control
PO1.1 Administración del Valor de TI
PO1.2 Alineación de TI con el Negocio
PO1.3 Evaluación del Desempeño y la Capacidad Actual
PO1.4 Plan Estratégico de TI
PO1.5 Planes Tácticos de TI
PO1.6 Administración del Portafolio de TI
8. PO2. Definir la Arquitectura de la Información.
La función de sistemas de información debe crear y actualizar de forma regular un modelo de información
del negocio y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el
desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la
organización, el esquema de clasificación de datos y los niveles de seguridad.
Control sobre el Proceso de TI de Definir la Arquitectura de la Información
Que satisface el requerimiento del negocio de TI para agilizar la respuesta a los requerimientos,
proporcionar información confiable y consistente, para integrar de forma transparente las aplicaciones
dentro de los procesos del negocio.
Se enfoca en el establecimiento de un modelo de datos empresarial que incluya un esquema de clasificación
de información que garantice la integridad y consistencia de todos los datos.
9. Se logra Se mide
con: con:
El aseguramiento de la El porcentaje de elementos
exactitud de la arquitectura de datos redundantes /
de la información y del duplicados.
modelo de datos.
La asignación de propiedad El porcentaje de aplicaciones
de datos que no cumplen con la
metodología de arquitectura
La clasificación de la de la información usada por
información usando un la empresa.
esquema de clasificación
acordado.
La frecuencia de actividades
Objetivos de validación de datos.
de control
PO2.1 Modelo de Arquitectura de Información
Empresarial
PO2.2 Diccionario de Datos Empresarial y Reglas de
Sintaxis de Datos
PO2.3 Esquema de Clasificación de Datos
PO2.4 Administración de Integridad
10. PO3. Determinar la Dirección Tecnológica.
La función de servicios de información debe determinar la dirección tecnológica para dar soporte al negocio.
Esto requiere de la creación de un plan de Infra estructura tecnológica y de un comité de arquitectura que
establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de
productos, servicios y mecanismos de aplicación.
Control sobre el proceso TI de Determinar la Dirección Tecnológica.
Que satisface el requerimiento del negocio de TI para contar con sistemas aplicativos estándares, bien
integrados, rentables y estables, así como recursos y capacidades que satisfagan requerimientos de negocio,
actuales y futuros.
Se enfoca en la definición e implementación de un plan de infraestructura tecnológica, una arquitectura y
estándares que tomen en cuenta y aprovechen las oportunidades tecnológicas.
11. Se logra Se mide
con: con:
El establecimiento de un El número y tipo de
foro para dirigir la desviaciones con respecto al
arquitectura y verificar el plan de infraestructura
cumplimiento. tecnológica.
El establecimiento de un Frecuencia de las
plan de infraestructura revisiones/actualizaciones
tecnológica equilibrado del plan de infraestructura
versus costos, riesgos y tecnológica.
requerimientos.
Número de plataformas de
La definición de estándares tecnología por función a
de infraestructura través de toda la empresa.
tecnológica basados en Objetivos
requerimientos de de control
arquitectura de información.
PO2.1 Modelo de Arquitectura de Información
Empresarial
PO2.2 Diccionario de Datos Empresarial y Reglas de
Sintaxis de Datos
PO2.3 Esquema de Clasificación de Datos
PO2.4 Administración de Integridad
12. PO4. Definir los Procesos, Organización y Relaciones de TI
Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones,
rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización está embebida en
un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento
de los altos ejecutivos y de la gerencia del negocio.
Control sobre el proceso TI de Definir los procesos, organización y relaciones de TI.
Se enfoca en el establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables,
y en la definición e implementación de procesos de TI condueños, y en la integración de roles y
responsabilidades hacia los procesos de negocio y de decisión.
13. Se logra Se mide
con: con:
El porcentaje de roles con
descripciones de puestos y
La definición de un marco de autoridad documentados.
trabajo de procesos de TI El número de
unidades/procesos de
El establecimiento de un negocio que no reciben
cuerpo y una estructura soporte de TI y que deberían
organizacional apropiada recibirlo, de acuerdo con la
estrategia.
La definición de roles y Número de actividades clave
responsabilidades de TI fuera de la
organización de TI que no
Objetivos son aprobadas y que no están
de control sujetas a los estándares
organizacionales de TI.
PO4.1 Marco de Trabajo de Procesos de TI
PO4.2 Comité Estratégico de TI
PO4.3 Comité Directivo de TI
PO4.4 Ubicación Organizacional de la Función de TI
PO4.5 Estructura Organizacional
PO4.6 Establecimiento de Roles y Responsabilidades
PO4.7 Responsabilidad de Aseguramiento de Calidad de TI
PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento
PO4.9 Propiedad de Datos y de Sistemas
PO4.10 Supervisión
PO4.11 Segregación de Funciones
PO4.12 Personal de TI
PO4.13 Personal Clave de TI
PO4.14 Políticas y Procedimientos para Personal Contratado
PO4.15 Relaciones
14. PO5. Administrar la Inversión en TI.
Este proceso busca establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen
costos, beneficios, prioridades del presupuesto, un proceso presupuestal formal y la administración contra ese presupuesto.
Los interesados (stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto
de los planes estratégicos y tácticos de TI, y tomar medidas correctivas según sean necesarias. El proceso fomenta la asociación
entre TI y los interesados del negocio, facilita el uso efectivo y eficiente de los recursos de TI, y brinda transparencia y
responsabilidad dentro del costo total de la propiedad, la materialización de los beneficios del negocio y el retorno sobre las
inversiones en TI.
Control sobre el proceso de TI de Administrar la Inversión
Que satisface el requerimiento del negocio de TI para mejorar de forma continua y demostrable la
rentabilidad de TI y su contribución a la rentabilidad del negocio con servicios integrados y estandarizados
que satisfagan las expectativas del usuario.
Se enfoca en las decisiones de portafolio e inversiones en TI efectivas y eficientes, y el establecimiento y
seguimiento de presupuestos de TI de acuerdo a la estrategia de TI y a las decisiones de inversión.
15. Se logra Se mide
con: con:
El porcentaje de reducción
en el costo unitario del
El pronóstico de la
servicio de TI
asignación de presupuestos
Porcentaje del valor de la
La definición de criterios
desviación respecto al
formales de inversión
presupuesto en comparación
(retorno de inversión-ROI,
con el presupuesto total.
periodo de reintegro, valor
presente neto –NPV)
Porcentaje de gasto de TI
expresado en impulsores de
La medición y evaluación del
valor del negocio (Ej.
valor del negocio en
Incremento en ventas /
comparación con el Objetivos servicios debidos a la mejora
pronostico
de control en conectividad).
PSP
PO5.1 Marco de Trabajo para la Administración Financiera
PO5.2 Prioridades Dentro del Presupuesto de TI
PO5.3 Proceso Presupuestal
PO5.4 Administración de Costos de TI
PO5.5 Administración de Beneficios
16. PO6. Comunicar las Aspiraciones y la Dirección de la Gerencia.
La dirección debe elaborar un marco de trabajo de control empresarial para TI, y definir las políticas. Un programa de
comunicación continua se debe implementar para articular la misión, los objetivos de servicio, las políticas y procedimientos,
etc., aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concienciación y
el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el cumplimento de las leyes y reglamentos
relevantes.
Control sobre el proceso de Comunicar las aspiraciones y la dirección de la gerencia de TI que satisface el
requerimiento del negocio de TI para una información precisa y oportuna sobre los servicios de TI actuales y
futuros, los riesgos asociados y las responsabilidades.
Se enfoca en proporcionar políticas, procedimientos, directrices y otra documentación aprobada, de forma
precisa y entendible y que se encuentre dentro del marco de trabajo de control de TI a los interesados.
17. Se logra Se mide
con: con:
El número de interrupciones
La definición de un marco de en el negocio debidas a
trabajo de control para TI interrupciones en el servicio
de TI.
La elaboración e
implantación de políticas Porcentaje de interesados
para TI que entienden el marco de
trabajo de control de TI de la
El refuerzo de políticas de TI empresa.
Porcentaje de interesados
que no cumple las políticas
Objetivos
de control
PO6.1 Ambiente de Políticas y de Control
PO6.2 Riesgo Corporativo y Marco de Referencia de Control interno
PO6.3 Administración de Políticas para TI
PO6.4 Implantación de Políticas de TI
PO6.5 Comunicación de los Objetivos y la Dirección de TI
18. PO7. Administrar los Recursos Humanos de TI.
Este proceso se centra en adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el
negocio. Esto se logra siguiendo practicas definidas ya probadas que apoyan el reclutamiento, entrenamiento, la evaluación del
desempeño, la promoción y terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de
gobierno y de control interno depende fuertemente de la motivación y competencia del personal.
Control sobre el proceso de TI de Administrar los recursos humanos de TI
Que satisface el requerimiento del negocio de TI para adquirir gente competente y motivada para crear y
entregar servicios de TI.
Se enfoca en la contratación y entrenamiento del personal, la motivación por medio de planes de carrera
claros, la asignación de roles que correspondan a las habilidades, el establecimiento de procesos de revisión
definidos, la creación de descripción de puestos y el aseguramiento de la conciencia de la dependencia sobre
los individuos.
19. Se logra Se mide
con: con:
La revisión del desempeño El nivel de satisfacción de los
del personal interesados respecto a la
experiencia y habilidades del
La contratación y personal
entrenamiento de personal
de TI para apoyar los planes La rotación del personal de
tácticos de TI TI
La mitigación del riesgo de Porcentaje de personal de TI
sobre-dependencia de certificado de acuerdo a las
recursos clave necesidades de negocio.
Objetivos
de control
PO7.1 Reclutamiento y Retención de Personal
PO7.2 Competencias del Personal
PO7.3 Asignación de Roles
PO7.4 Entrenamiento del Personal de TI
PO7.5 Dependencia Sobre los Individuos
PO7.6 Procedimientos de Investigación del Personal
PO7.7 Evaluación del Desempeño del Empleado
PO7.8 Cambios y Terminación de Trabajo
20. PO8. Administrar la Calidad.
Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de
desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de
administración de calidad, proporcionando requerimientos, procedimientos y políticas de calidad.
Los requerimientos de calidad se deben manifestar u documentar con indicadores cuantificables y alcanzables. La
administración de calidad es esencial para garantizar que TI está dando valor al negocio, mejora continua y transparencia para
los interesados.
Control sobre el proceso de TI de Administrar la calidad satisface el requerimiento de negocio de TI para la
mejora continua y medible de la calidad de los servicios prestados por TI.
Se enfoca en la definición de un sistema de administración de calidad (QMS por sus siglas en ingles), el
monitoreo continuo del desempeño contra los objetivos predefinidos y la implantación de mejora continua
de servicios de TI.
21. Se logra Se mide
con: con:
Porcentaje de Interesados
La definición de estándares y (Stakeholders)satisfechos
prácticas de calidad. con la calidad (ponderado
por importancia)
El monitoreo, revisión
interna y externa del Porcentaje de procesos de TI
desempeño contra los revisados de manera formal
estándares y prácticas de por aseguramiento de
calidad definidas. calidad de modo periódico
que satisfaga las metas y los
La mejora del QMS de objetivos de calidad.
manera continúa.
Porcentaje de procesos que
reciben revisiones de
Objetivos aseguramiento de calidad
(QA).
de control
PO8.1 Sistema de Administración de Calidad
PO8.2 Estándares y Prácticas de Calidad
PO8.3 Estándares de Desarrollo y de Adquisición
PO8.4 Enfoque en el Cliente de TI
PO8.5 Mejora Continua
PO8.6 Medición, Monitoreo y Revisión de la Calidad
22. PO9. Evaluar y Administrar los Riesgos de TI.
Crear y dar mantenimiento a un marco de trabajo de administración de riesgos.
El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales.
Cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se debe identificar,
analizar y evaluar. El resultado de la evaluación debe ser entendible para los interesados (Stakeholders) y se debe expresar en
términos financieros, para permitirles alinear los riesgos a un nivel aceptable de tolerancia.
Control sobre el proceso TI de Evaluar y administrar los riesgos de TI.
Que satisface el requerimiento del negocio de TI para analizar y comunicar los riesgos de TI y su impacto
potencial sobre los procesos y metas de negocio.
Enfocándose en la elaboración de un marco de trabajo de administración de riesgos el cual está integrado en
los marcos gerenciales de riesgo operacional, evaluación de riesgos, mitigación del riesgo y comunicación de
riesgos residuales.
23. Se logra Se mide
con: con:
Porcentaje de objetivos
La garantía de que la
críticos de TI cubiertos por la
administración de riesgos
evaluación de riesgos
está incluida completamente
en los procesos
Porcentaje de riesgos críticos
administrativos, tanto
de TI identificados con
interna como externamente,
planes de acción elaborados
y se aplica de forma
consistente.
Porcentaje de planes de
acción de administración de
La realización de
riesgos aprobados para su
evaluaciones de riesgo.
implantación.
La recomendación y
comunicación de planes de Objetivos
acción para remediar riesgos.
de control
PO9.1 Marco de Trabajo de Administración de Riesgos
PO9.2 Establecimiento del Contexto del Riesgo
PO9.3 Identificación de Eventos
PO9.4 Evaluación de Riesgos de TI
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
24. PO10. Administrar Proyectos.
El objetivo de este proceso es establecer un marco de trabajo de administración de programas y proyectos, el cual sirva para la
administración de todos los proyectos de TI establecidos. Este enfoque reduce el riesgo de costos inesperados y de cancelación
de proyectos, mejora la comunicación y el involucramiento del negocio y de los usuarios finales, asegura el valor y la calidad de
los entregables de los proyectos, y maximiza la contribución a los programas de inversión facilitados por TI.
Control sobre el proceso de TI de Administrar proyectos.
Que satisface el requerimiento del negocio TI para la entrega de resultados de proyectos dentro de marcos de
tiempo, presupuesto y calidad acordados.
Enfocándose en un programa y un enfoque de administración de proyectos definidos, el cual se aplica a todos
los proyectos de TI, lo cual facilita la participación de los interesados y el monitoreo de los riesgos y los
avances de los proyectos.
25. Se logra Se mide
con: con:
La definición e Porcentaje de proyectos que
implantación de marcos de satisfacen las expectativas de
trabajo y enfoques de los interesados (a tiempo,
programas y de proyectos. dentro del presupuesto, y
con satisfacción de los
La emisión de directrices de requerimientos –ponderados
administración para por importancia)
proyectos.
Porcentaje de proyectos con
La planeación de proyectos revisión post-implantación
para todos los proyectos
incluidos en el portafolio. Porcentaje de proyectos que
siguen estándares y prácticas
Objetivos de administración
de control
P10.1 Marco de Trabajo para la Administración de Programas
P10.2 Marco de Trabajo para la Administración de Proyectos
P10.3 Enfoque de Administración de Proyectos
P10.4 Compromiso de los Interesados
P10.5 Declaración de Alcance del Proyecto
P10.6 Inicio de las Fases del Proyecto
P10.7 Plan Integrado del Proyecto
P10.8 Recursos del Proyecto
P10.9 Administración de Riesgos del Proyecto
P10.10 Plan de Calidad del Proyecto
P10.11 Control de Cambios del Proyecto
P10.12 Planeación del Proyecto y Métodos de Aseguramiento
P10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto
P10.14 Cierre del Proyecto