Fase A-Determinar Alcance de la Iniciativa para la Garantía

Ref. Pasos de Aseguramiento Orientacion

A-1 Determine los grupos de interés de la iniciativa y la
garantía de su participación.

A-1.1 Identificar el usuario previsto (s) del informe de Usuario previsto (s) del informe
aseguramiento y su participación en el contrato de de verificación
aseguramiento. Este es el objetivo de aseguramiento.

A-1.2 Identificar las partes interesadas, responsables y Las partes responsables y

encargados de la materia sobre la que la garantía debe responsables de la materia
ser proporcionada.

A-2 Determinar los objetivos de aseguramiento basados ​en Objetivos de Aseguramiento son esencialmente una expresión más detallada y concreta de esos objetivos d
la evaluación del medio ambiente / contexto interno y aseguramiento.
externo y de los riesgos y oportunidades relacionados
(es decir, no se han alcanzado los objetivos de la Objetivos empresariales pueden ser formuladas en términos de los objetivos de la empresa genéricos (COBIT 5 Marco
empresa).
Objetivos del trabajo de aseguramiento pueden expresarse utilizando los COBIT 5 objetivos de la empresa, los o
tecnología), objetivos de información o cualquier otro conjunto de metas específicas.
A-2.1 Comprender la estrategia y las prioridades de la Consultar con la gestión ejecutiva o mediante la documentación disponible (estrategia corporativa, el informe anual,
empresa. para el próximo período, y documentarlos en la medida en el proceso que se examina es relevante.

A-2.2 Entender el contexto interno de la empresa. Identificar todos los factores ambientales internos que podrían influir en el rendimiento del proceso bajo revisión.
A-2.3 Entender el contexto externo de la empresa. Identificar todos los factores ambientales externos que podrían influir en el rendimiento del proceso bajo revisión.
A-2.4 Teniendo en cuenta el objetivo general de garantía, Las siguientes metas se pueden conservar como objetivos clave que deben apoyarse, en reflejo de la estrategia y las
traducir las prioridades estratégicas definidas en
objetivos concretos para el contrato de aseguramiento.

Objetivos clave
 Las metas adicionales

A-2.5 Definir los límites de la organización de la iniciativa de Describir los límites de la organización del trabajo de aseguramiento, es decir, a las que las entidades de organizac
seguridad. aspectos de la limitación al alcance en la fase A-3.

A-3 Determinar los facilitadores en el alcance y la instancia El alcance de este contrato de aseguramiento es un proceso. Sin embargo, según el modelo de facilitador COB
(s) de los facilitadores en el perímetro considerados para su inclusión en el ámbito de aplicación también.

A-3.1 Definir el proceso de alcance de la revisión. El proceso siguiente como se define en COBIT 5: Habilitación de Procesos está en el ámbito de este contrato de aseg
A-3.2 Definir los facilitadores relacionados. Principios, políticas y marcos: En el contexto de este proceso de revisión, y teniendo en cuenta los objetivos identif
pueden ser considerados en el alcance de la revisión:
Facilitadores relacionados incluyen: • Principios rectores de gobernanza empresarial
• Principios, políticas y marcos • políticas relacionados con la TI
• Estructuras organizativas • Política y objetivos para la continuidad del negocio
• Cultura, Ética y Conducta • Las políticas de seguridad para dispositivos de punto final
• Información • Las políticas ambientales
• Servicios, Infraestructura y Aplicaciones • Principios para la protección de los recursos (incluida la política de prevención de software malicioso, la política de
• Personas, Habilidades y Competencias dispositivos de punto final)
• Otros relevantes Principios, políticas y marcos

Estructuras organizativas: Basado en el proceso que se examina, las siguientes estructuras y funciones organ
aseguramiento, y los recursos disponibles determinarán cuáles serán revisados ​en detalle:
• El presidente ejecutivo (CEO)
• El director financiero (CFO)
• El jefe de operaciones (COO)
• Los ejecutivos de negocios
• propietarios de los procesos de negocios
• Comité Ejecutivo de Estrategia
• La oficina de gestión de proyectos
• Director de Riesgos (CRO)
• Jefe oficial de seguridad de la información (CISO)
• Placa de Arquitectura
• Jefe de recursos humanos
• director de información (CIO)
• Arquitecto Jefe
• Jefe de desarrollo
• las operaciones de TI de cabeza
• Jefe de administración de TI
• Gestor de Servicio
• Administrador de seguridad de la información
• Gestor de la Continuidad de Negocios
Cuiture, Ética y Conducta: En el contexto de este proceso de revisión, los siguientes comportamientos en toda la empr
• <lista aquí los elementos de comportamiento más relevantes>

Asuntos para información: Basado en el proceso que se examina, los siguientes elementos de información se consid
recursos disponibles determinarán cuales serán revisados ​queridos en detalle.

APO01.01:
• El modelo de toma de decisiones (I)
• principios rectores de gobierno de empresa (I)
• Definición de la estructura y funciones de organización (O)
• Arquitectura de Procesos modelo (I)
• directrices operativas de organización (O)
• reglas básicas de comunicación (O)

APO01.02:
• Los niveles de autorización (I)
• Definición de TI relacionados con las funciones y responsabilidades (O)
• Asignación de responsabilidades para la gestión de recursos (I)
• Definición de las prácticas de supervisión (O)
• planes de desarrollo con una habilidad (I)
• Habilidad y competencias matriz (I)
• Sistema de gestión de calidad (SGC) funciones, responsabilidades y derechos de decisión (I)
• Sistema de gestión de seguridad de la información (SGSI) declaración del alcance (I)
• Los niveles asignados de autoridad (I)
• Roles y responsabilidades asignadas (I)

APO01.03:
• principios rectores de gobierno de empresa (I)
• políticas relacionados con la TI (O)
• Mapa estratégico de carreteras (I)
• Nuevas cuestiones de riesgo y factores (I)
• Los resultados del análisis de riesgos (I)
APO01.04:
• La comunicación de gobierno de la empresa (I)
• Comunicación sobre objetivos de TI (O)
• Principios de la protección de los recursos (I)
• La comunicación de riesgos de impacto (I)
• Comunicación sobre el valor del conocimiento (I)
• Política y objetivos de continuidad del negocio (I)
• La política de prevención de software malicioso (I)
• la política de seguridad Conectividad (I)
• Las políticas de seguridad para dispositivos de punto final (I)

APO01.05:
• El modelo de funcionamiento de la Empresa (I)
• Evaluación de las opciones para la organización de TI (O)
• Estrategia de Empresa (I)
• Colocación operativos definidos de la función de TI (O)

APO01.06:
• directrices de clasificación de datos (O)
• directrices de seguridad y control de datos (O)
• procedimientos de integridad de datos (O)

APO01.07:
• Evaluación de la eficacia y desempeño de la gobernabilidad (I)
• evaluaciones de la capacidad de proceso (O)
• políticas actualizadas, principios, procedimientos y normas (I)
• oportunidades de mejora de procesos (O)
• Las metas de desempeño y métricas para el seguimiento de la mejora de procesos (O)

APO01.08:
• Políticas Ambientales (I)
• acciones correctivas Incumplimiento (O)
• políticas actualizadas, principios, procedimientos y normas (I)

Servicios, Infraestructura y Aplicaciones: En el contexto de este proceso de revisión, y teniendo en cuenta los objetivo
infraestructura o aplicaciones relacionadas podrían ser considerados en el alcance de la revisión:
• Inventario de información (sistemas y datos) que incluye un listado de los propietarios, custodios y clasificaciones
• Otros servicios relevantes, de Infraestructura y Aplicaciones

Personas, Habilidades y Competencias: En el contexto de este proceso de revisión, teniendo en cuenta los procesos c
habilidades se incluyen en el alcance:
• Conocimiento de la formulación de políticas de TI
• Otras habilidades pertinentes requeridos
 Fase A-Determinar Alcance de la Iniciativa para la Garantía
Orientacion

Describa los usuarios del informe de verificación y sus estacas.

Describir las partes responsables y competentes en el tema sobre el cual la garantía se va a proporcionar; COBIT 5 incluye una breve descripción
de un conjunto completo de funciones que se pueden utilizar como punto de partida para este paso de auditoría (COBIT marco 5, anexo 6​​, p 76.);
COBIT 5 para la Garantía también proporciona una descripción resumida de un conjunto completo de funciones de aseguramiento; véase la
sección 2A, capítulo 4, p.37.

Aseguramiento son esencialmente una expresión más detallada y concreta de esos objetivos de la empresa relacionados con el objeto del contrato de
o.

presariales pueden ser formuladas en términos de los objetivos de la empresa genéricos (COBIT 5 Marco) o que se pueden expresar más concretamente.

trabajo de aseguramiento pueden expresarse utilizando los COBIT 5 objetivos de la empresa, los objetivos relacionados con TI (que se relacionan más con la
bjetivos de información o cualquier otro conjunto de metas específicas.
la gestión ejecutiva o mediante la documentación disponible (estrategia corporativa, el informe anual, etc) acerca de la estrategia de la empresa y las prioridades
o período, y documentarlos en la medida en el proceso que se examina es relevante.

os los factores ambientales internos que podrían influir en el rendimiento del proceso bajo revisión.
os los factores ambientales externos que podrían influir en el rendimiento del proceso bajo revisión.
s metas se pueden conservar como objetivos clave que deben apoyarse, en reflejo de la estrategia y las prioridades de la empresa.

Objetivos de la empresa:
• EG02 Portafolio de productos y servicios competitivos
• EG08 respuestas ágiles a un entorno empresarial en constante cambio

Relacionados con TI objetivos:

• ITG01 alineación de las TI y la estrategia de negocios
• ITG02 cumplimiento de TI y el apoyo para el cumplimiento de los negocios con las leyes y regulaciones externas
• ITG09 TI la agilidad
• ITG11 Optimización de Activos de TI, recursos y capacidades
• ITG15 cumplimiento de TI con las políticas internas
• ITG16 competente y motivado de negocios y el personal de TI
• ITG17 conocimiento, la experiencia y las iniciativas para la innovación empresarial
 Objetivos de la empresa:
• EG01 valor de las partes interesadas de las inversiones empresariales
• EG03 riesgos empresariales gestionados (salvaguardia de los activos)
• EG04 Cumplimiento de leyes y regulaciones externas
• EG06 orientada al cliente cultura de servicio
• EG09 toma de decisiones estratégicas basada en la información
• EG10 Optimización de los costes de prestación de servicios
• EG11 Optimización de la funcionalidad de procesos de negocio
• EG12 Optimización de costes de procesos de negocio
• EG13 programas de cambio de negocio gestionado
• EG14 productividad operacional y personal
• EG15 Conformidad con las políticas internas
• EG16 especializada y personas motivadas
• EG17 del producto y la innovación empresarial cultura

Relacionados con TI objetivos:

• ITG03 Compromiso de la dirección ejecutiva para la toma de decisiones relacionadas con TI
• ITG04 Managed IT-relacionada con los riesgos de negocio
• ITG07 entrega de servicios de TI en línea con los requerimientos del negocio
• ITG10 Seguridad de la información, infraestructura de procesamiento y aplicaciones
• ITG12 Enablement y el apoyo de los procesos de negocio mediante la integración de aplicaciones y la tecnología en los procesos empresariales
• ITG13 entrega de los programas de entrega de beneficios a tiempo, dentro del presupuesto, y de reuniones requisitos y estándares de calidad
• ITG14 disponibilidad de información confiable y útil para la toma de decisiones

ímites de la organización del trabajo de aseguramiento, es decir, a las que las entidades de organización del examen es limitado. Se identificaron todos los otros
a limitación al alcance en la fase A-3.

e este contrato de aseguramiento es un proceso. Sin embargo, según el modelo de facilitador COBIT 5, todos los facilitadores relacionados tendrán que ser
para su inclusión en el ámbito de aplicación también.

uiente como se define en COBIT 5: Habilitación de Procesos está en el ámbito de este contrato de aseguramiento: APO01 Administrar el marco de gestión de TI.
 íticas y marcos: En el contexto de este proceso de revisión, y teniendo en cuenta los objetivos identificados en A-2.4, los siguientes principios, políticas y marcos
nsiderados en el alcance de la revisión:
ctores de gobernanza empresarial
cionados con la TI
etivos para la continuidad del negocio
de seguridad para dispositivos de punto final
ambientales
ara la protección de los recursos (incluida la política de prevención de software malicioso, la política de seguridad de la conexión, y las políticas de seguridad para
e punto final)
ntes Principios, políticas y marcos

rganizativas: Basado en el proceso que se examina, las siguientes estructuras y funciones organizativas se consideran en el alcance de este contrato de
o, y los recursos disponibles determinarán cuáles serán revisados ​en detalle:
e ejecutivo (CEO)
nanciero (CFO)
eraciones (COO)
os de negocios
de los procesos de negocios
utivo de Estrategia
gestión de proyectos
Riesgos (CRO)
e seguridad de la información (CISO)
quitectura
rsos humanos
nformación (CIO)
efe
rrollo
nes de TI de cabeza
nistración de TI
ervicio
or de seguridad de la información
Continuidad de Negocios
 y Conducta: En el contexto de este proceso de revisión, los siguientes comportamientos en toda la empresa son en su alcance:
s elementos de comportamiento más relevantes>

información: Basado en el proceso que se examina, los siguientes elementos de información se consideran en el alcance de este contrato de aseguramiento, y los
onibles determinarán cuales serán revisados ​queridos en detalle.

e toma de decisiones (I)

ctores de gobierno de empresa (I)
e la estructura y funciones de organización (O)
de Procesos modelo (I)
perativas de organización (O)
as de comunicación (O)

de autorización (I)
e TI relacionados con las funciones y responsabilidades (O)
de responsabilidades para la gestión de recursos (I)
e las prácticas de supervisión (O)
sarrollo con una habilidad (I)
competencias matriz (I)
gestión de calidad (SGC) funciones, responsabilidades y derechos de decisión (I)
gestión de seguridad de la información (SGSI) declaración del alcance (I)
asignados de autoridad (I)
onsabilidades asignadas (I)

ctores de gobierno de empresa (I)

cionados con la TI (O)
égico de carreteras (I)
stiones de riesgo y factores (I)
os del análisis de riesgos (I)
 ción de gobierno de la empresa (I)
ón sobre objetivos de TI (O)
e la protección de los recursos (I)
ción de riesgos de impacto (I)
ón sobre el valor del conocimiento (I)
etivos de continuidad del negocio (I)
e prevención de software malicioso (I)
seguridad Conectividad (I)
de seguridad para dispositivos de punto final (I)

e funcionamiento de la Empresa (I)

de las opciones para la organización de TI (O)
e Empresa (I)
operativos definidos de la función de TI (O)

e clasificación de datos (O)

e seguridad y control de datos (O)
tos de integridad de datos (O)

de la eficacia y desempeño de la gobernabilidad (I)

s de la capacidad de proceso (O)
ualizadas, principios, procedimientos y normas (I)
es de mejora de procesos (O)
e desempeño y métricas para el seguimiento de la mejora de procesos (O)

bientales (I)
rectivas Incumplimiento (O)
ualizadas, principios, procedimientos y normas (I)

aestructura y Aplicaciones: En el contexto de este proceso de revisión, y teniendo en cuenta los objetivos identificados en A-2.4, los siguientes servicios e
a o aplicaciones relacionadas podrían ser considerados en el alcance de la revisión:
e información (sistemas y datos) que incluye un listado de los propietarios, custodios y clasificaciones
os relevantes, de Infraestructura y Aplicaciones

bilidades y Competencias: En el contexto de este proceso de revisión, teniendo en cuenta los procesos clave y funciones clave, los siguientes conjuntos de
e incluyen en el alcance:
o de la formulación de políticas de TI
ades pertinentes requeridos
Edición de referencias cruzadas Comentario
 Fase B-Entender Facilitadores, establecer criterios de evaluación adecuados y realizar la e
Ref. Assurance Pasos y Orientación
B-1 Acordar las métricas y los criterios de objetivos de la empresa y los objetivos relacionados con la TI.
B-1.1 Evaluar
Obtener las metas empresariales
(y acordar) métricas paraylos
objetivos relacionados
objetivos con la
empresariales TI. valores esperados de los indicadores y evaluar si se alcanzan los objetivos de la empresa en el alcance.
y los
Los siguientes indicadores y valores de referencia están de acuerdo en los objetivos empresariales clave definidos en el paso A-2.4.
Empresa Meta Metricas Resultado Esperado (Ex)
EG02 Portafolio de productos y • Porcentaje de productos y servicios que cumplan o Ponerse de acuerdo sobre los valores esperados
servicios competitivos superen los objetivos de los ingresos y / o participación en para estos indicadores, es decir, los valores
el mercado contra el que la evaluación se llevará a cabo.
• Relación de productos y servicios por fase del ciclo de
vida
• Porcentaje de productos y servicios que cumplan o
superen los objetivos de satisfacción del cliente
• Porcentaje de productos y servicios que proporcionan una
ventaja competitiva

EG08 Respuestas ágiles a un • Grado de satisfacción bordo con la empresa la capacidad Ponerse de acuerdo sobre los valores esperados
entorno empresarial en constante de respuesta a las nuevas necesidades para estos indicadores, es decir, los valores
cambio • Número de productos y servicios críticos con el apoyo de contra el que la evaluación se llevará a cabo.
los procesos de negocio en marcha al día
• Tiempo promedio para encender los objetivos estratégicos
de la empresa en una iniciativa acordada y aprobada

B-1.2 Obtener (y acordar) métricas para los objetivos relacionados con la TI y los valores esperados de los indicadores y evaluar si se logran las metas relacionadas con la TI en e
Los siguientes indicadores y valores de referencia se pusieron de acuerdo sobre los principales objetivos relacionados con TI definidas en la Etapa A-2.4.
Relacionados con la TI Meta Metricas Resultado Esperado (Ex)
ITG01 alineación de las TI y la • Porcentaje de empresas estratégica metas y requisitos Ponerse de acuerdo sobre los valores esperados
estrategia de negocios apoyados por TI objetivos estratégicos para las métricas meta relacionados con TI, es
• Nivel de satisfacción de los interesados ​con el alcance de decir, los valores contra el que la evaluación se
la cartera prevista de los programas y servicios llevará a cabo.
• Porcentaje de los impulsores de valor de TI asignada a los
generadores de valor de negocio

ITG02 cumplimiento de TI y el apoyo • Costo de TI incumplimiento, incluyendo asentamientos y Ponerse de acuerdo sobre los valores esperados
para el cumplimiento de los multas, y el impacto de la pérdida de reputación para las métricas meta relacionados con TI, es
negocios con las leyes y • Número de TI relacionados con las cuestiones de decir, los valores contra el que la evaluación se
regulaciones externas incumplimiento denunciados a la pensión o que causan el llevará a cabo.
comentario público o vergüenza
• Número de problemas de incumplimiento en relación con
los acuerdos contractuales con los proveedores de servicios
de TI
• Cobertura de las evaluaciones de cumplimiento

ITG09 Agilidad IT • Grado de satisfacción de los ejecutivos de negocios con TI Ponerse de acuerdo sobre los valores esperados
es la capacidad de respuesta a las nuevas necesidades para las métricas meta relacionados con TI, es
• Número de procesos críticos de negocio con el apoyo de decir, los valores contra el que la evaluación se
infraestructura y aplicaciones hasta al día llevará a cabo.
• Tiempo promedio para encender objetivos estratégicos de
TI en una iniciativa acordada y aprobada en
 ITG11 Optimización de Activos de • Frecuencia de madurez de la capacidad y de costes Ponerse de acuerdo sobre los valores esperados
TI, recursos y capacidades evaluaciones de optimización para las métricas meta relacionados con TI, es
• Evolución de los resultados de evaluación decir, los valores contra el que la evaluación se
• Los niveles de satisfacción de las empresas y los llevará a cabo.
ejecutivos de TI con TI relacionados costes y capacidades

ITG15 cumplimiento de TI con las • Número de incidentes relacionados con el incumplimiento Ponerse de acuerdo sobre los valores esperados
políticas internas de la política para las métricas meta relacionados con TI, es
• Porcentaje de interesados ​que entender las políticas decir, los valores contra el que la evaluación se
• Porcentaje de las políticas de apoyo de normas eficaces y llevará a cabo.
prácticas de trabajo
• Frecuencia de las políticas de revisión y actualización

ITG16 competente y motivado • Porcentaje de personal cuyo relacionados con TI Ponerse de acuerdo sobre los valores esperados
personal de TI y de negocio habilidades son suficientes para la competencia requerida para las métricas meta relacionados con TI, es
para su función decir, los valores contra el que la evaluación se
• Porcentaje de personal satisfecho con sus roles llevará a cabo.
relacionados con TI
• Número de horas de aprendizaje / formación por empleado

ITG17 conocimiento, la experiencia • Nivel de sensibilización ejecutivo de negocios y la Ponerse de acuerdo sobre los valores esperados
y las iniciativas para la innovación comprensión de TI posibilidades de innovación para las métricas meta relacionados con TI, es
empresarial • Nivel de satisfacción de los interesados ​con los niveles de decir, los valores contra el que la evaluación se
experiencia de innovación de TI y las ideas llevará a cabo.
• Número de iniciativas aprobadas resultantes de las ideas
innovadoras de TI

B-2 Obtener la comprensión del proceso en su alcance y establecer criterios de evaluación adecuados.
B-2.1 Evaluar
EntenderelelProceso.
propósito del proceso.
El propósito de APO01 proceso es según el estándar COBIT 5 Declaración proceso: 'Proporcionar un enfoque de gestión coherente para que los requisitos de gobern
B-2.2 procesos de gestión,
Comprender estructuras
las metas de procesoorganizativas,
y las métricasfunciones y responsabilidades,
relacionadas actividades
y definir los valores confiables
esperados y repetibles,
(criterios), y las
y evaluar si habilidades
se alcanzan losyobjetivos
competencias '.
del Proceso (resultados), es d
El proceso APO01 Gestionar el marco de gestión de TI tiene dos objetivos estándar de procesos definidos, como se describe en COBIT 5:
Procesos deproceso
Objetivo del Habilitación, capítulo 5,Métricas
p. 51 Sobre la base de estos objetivos y sus métricas relacionadas,
relacionados el subconjunto
Criterios / Valor Esperado de las metas y los
Un conjunto eficaz de políticas está • Porcentaje de las políticas activas, las normas y otros Ponerse de acuerdo sobre los valores esperados
definida y mantenida. facilitadores documentado y actualizado para las métricas objetivo de proceso, es decir,
• Fecha de las últimas actualizaciones en el marco y los los valores contra el que la evaluación se llevará
facilitadores a cabo.
• Número de exposiciones de riesgo debido a las
deficiencias en el diseño del ambiente de control

Todo el mundo es consciente de las • Número de funcionarios que asistieron a sesiones de Ponerse de acuerdo sobre los valores esperados
políticas y la forma en que debe formación o sensibilización para las métricas objetivo de proceso, es decir,
aplicarse • Porcentaje de terceros proveedores que tienen contratos los valores contra el que la evaluación se llevará
que definen los requisitos de control a cabo.

El proceso APO01 Administrar el marco de gestión de TI se describe en COBIT 5: Habilitación de Cada práctica se lleva a cabo normalmente a través de una serie de ac
Procesos.
Referencia Evaluación Paso todas estas prácticas y actividades.
Práctica Proceso

APO01.01 Definir la estructura Evaluar mediante la aplicación de técnicas apropiadas de auditoría (entrevista, observación, pruebas) si la práctica de gestión se impl
organizativa. actividades (control) típicas:

APO01.02 Establecer las funciones Evaluar mediante la aplicación de técnicas apropiadas de auditoría (entrevista, observación, pruebas) si la práctica de gestión se impl
y responsabilidades. actividades (control) típicas:
 APO01.03 Mantener los facilitadores Evaluar mediante la aplicación de técnicas apropiadas de auditoría (entrevista, observación, pruebas) si la práctica de gestión se impl
del sistema de gestión. actividades (control) típicas:

1. Obtener un entendimiento de la visión de la empresa, dirección y estrategia

AP001.04 Comunicar objetivos y 2. en cuenta
Evaluar el entorno
mediante interno de la
la aplicación empresa,
técnicas incluyendo
apropiadas de la cultura (entrevista,
auditoría de la gestiónobservación,
y la filosofía,pruebas)
tolerancia al práctica
si la riesgo, ladeseguridad,
gestión selosimpl
va
dirección de la gerencia. actividades (control) típicas:

AP001.05 Optimizar la colocación Evaluar mediante la aplicación de técnicas apropiadas de auditoría (entrevista, observación, pruebas) si la práctica de gestión se impl
de la función de TI. actividades (control) típicas:

AP001.06 Definir la información Evaluar mediante la aplicación de técnicas apropiadas de auditoría (entrevista, observación, pruebas) si la práctica de gestión se impl
(datos) y la propiedad del sistema. actividades (control) típicas:

1. Proporcionar las políticas y directrices para asegurar la clasificación para toda la empresa adecuada y coherente de la información (d
AP001.07 Gestione la 2. Definir,
mejora Evaluar mantener
mediante y proporcionar
la aplicación herramientas
de técnicas adecuadas,
apropiadas las (entrevista,
de auditoría técnicas y directrices para
observación, garantizar
pruebas) si la la seguridad
práctica y los controle
de gestión se impl
continua de los procesos. actividades (control) típicas:

AP001.08 mantener el cumplimiento Evaluar mediante la aplicación de técnicas apropiadas de auditoría (entrevista, observación, pruebas) si la práctica de gestión se impl
con las políticas y procedimientos. actividades (control) típicas:

Cumplimiento 1. Track con las políticas y procedimientos.

B-2.3 2. Analizar
Ponerse de acuerdo sobre los productos el incumplimiento
de trabajo y adoptar
de proceso (entradas las medidas
y salidas apropiadas
como se definen en(esto podría incluir
la descripción los requisitos
prácticas cambiantes).
de proceso) que se espera que estén presen
Evaluar la medida
El Proceso APO01enidentifica
que los productos dede
un conjunto trabajo de proceso
entradas están
y salidas paradisponibles.
las diferentes prácticas de manejo. El más relevante de estos productos de
trabajo (y los que no están calificados como elementos de información en el perímetro de la sección A-3.2) se identifican de la siguiente, así como
los criterios con los que serán evaluados, es decir, la existencia y el uso.
Práctica Proceso Producto de Trabajo
APO01.01 • El modelo de toma de decisiones (I)
APO01.02 •• principios
Los nivelesrectores de gobierno
de autorización (I) de empresa (I)
APO01.03 •• Asignación de responsabilidades
principios rectores de gobierno depara la gestión
empresa (I) de recursos (I)
APO01.04 •• Mapa estratégico de carreteras (I)
La comunicación de gobierno de la empresa (I)
APO01.05 •• El
Principios
modelo dede la protección de de
funcionamiento loslarecursos
Empresa(I)(I)
APO01.06 •• Estrategia de Empresa (I)
directrices de clasificación de datos (O)
APO01.07 •• directrices
Evaluacióndedeseguridad
la eficaciayycontrol de datos
desempeño (O)gobernabilidad (I)
de la
APO01.08 •• evaluaciones de la capacidad
Políticas Ambientales (I) de proceso (O)

B-2.4 Ponerse de acuerdo sobre el nivel de •capacidad

acciones correctivas
de proceso Incumplimiento (O)por el proceso.
a ser alcanzados
Proceso APO01 da se-las prioridades estratégicas-importante, y requerirá el siguiente nivel y los atributos de capacidad de proceso, lo que equivale a la consecución de un
B-3 Obtener la comprensión de los principios, las políticas y los marcos en el alcance.
Repita los pasos B-3.1Evaluar
a B-3.5Principios,
para todospolíticas y marcos.
los principios, las políticas y los marcos en el alcance.
B-3.1 Comprender los principios, políticas y marco Marcos.
B-3.2 Obtener
Entenderlalas
comprensión de todo de
partes interesadas el sistema de control
los principios, interno yyde
las políticas loslos asociados Principios, políticas y marcos.
marcos
B-3.3 Entender
Comprenderlas los
partes interesadas
objetivos de los en las políticas.
principios, Los grupos
las políticas y losde interésy para
marcos las políticas
las métricas incluyen las
relacionadas, que establecen
y ponerse las políticas
de acuerdo sobre losyvalores
los queesperados.
necesitan para estar en conformid
Evaluar si se logran los principios, lasCriterio
Metas políticas y los marcos objetivos (resultados), es decir, evaluar la efectividad de los principios, las políticas y los marcos.

Integralidad El conjunto de políticas es exhaustivo en su cobertura.

Concurrencia El conjunto de políticas está actualizado. Esto, al menos, se requiere:

• Una validación periódica de todas las políticas que se mantienen están al día
• Una indicación de la fecha de caducidad de las políticas 'o la fecha de la última modificación

Flexibilidad El conjunto de políticas es flexible. Está estructurado de tal manera que es fácil añadir o actualizar las
políticas como las circunstancias lo requieren.

disponibilidad • Las políticas están disponibles para todos los interesados​​.

• Las políticas son fáciles de navegar y tener una estructura lógica y jerárquica.

B-3.4 Entender las etapas del ciclo vital de los principios, las políticas y los marcos, y ponerse de acuerdo sobre los criterios pertinentes. Evaluar en qué medida se logró el Princip
El ciclo delas
Entender vida de lasprácticas
buenas políticas relacionadas
relacionadas con
con TI-es dirigido por
los principios, laselpolíticas
ProcesoyAPO01. Por ylolos
los marcos tanto, en elesperados.
valores contexto deEvaluar
este proceso, la revisión
los Principios, de estey ciclo
políticas marcosde vida está conte
de diseño, es
buenas
Buenas prácticas.
Prácticas Criterio
 Ámbito de aplicación y vigencia El alcance se describe y la fecha de validez se indica.

Excepción y escalada • El procedimiento de excepción y la escalada se explica y se conoce comúnmente.

• La excepción y el procedimiento de escalada no se ha convertido en un procedimiento estándar de facto.

cumplimiento El mecanismo de control de la conformidad y de no conformidad consecuencias se describen claramente y se

hacen cumplir.

B-4 Obtener la comprensión de las estructuras organizativas en el alcance.

Repita los pasos B-4.1Evaluar
a B-4.5las
porEstructuras organizativas
cada estructura organizativa de alcance, según lo determinado en el paso A-3.2.
B-4.1 Entender el contexto Estructura Organizativa.
B-4.2 Identificar y documentar
Entender todos todos los
los interesados ​de elementos que/ función
la estructura puedenorganizativa.
ayudar a entender el contexto en el que la Estructura Organizacional / papel tiene que operar, incluyendo:

B-4.3 Determinar
Comprendera lostravés de revisión
objetivos de la documentación
de la Estructura (políticas,
Organizativa, las comunicaciones
las métricas relacionadas y de gestión,
ponerse deetc) las partes
acuerdo sobreinteresadas
los valores clave de la función,
esperados. Entenderescómo
decir:estos objetivos contrib
yEstructura
los objetivos relacionados con
Organizacional Objetivo la TI. Evaluación Paso
Determinar a través de entrevistas con las principales partes interesadas y revisión de la Este paso sólo se aplica si se definen objetivos específicos. En ese caso
B-4.4 documentación de los
Ponerse de acuerdo objetivos
sobre de lasprácticas
las buenas Estructuras
que organizativas,
se espera paraesla decir, las decisiones
Estructura de contra
Organizativa las auditoría
el que apropiadas
se evaluará.para:
Evaluar el diseño de la estructura organizativa,
Buenas Prácticas Criterio es decir, evaluar el grado en que se espera se apliquen buenas prácticas.
principios de funcionamiento • Principios de funcionamiento están documentados.
• Se celebran reuniones periódicas según se define en los principios de funcionamiento.
• Informes de reuniones / minuto están disponibles y son significativos.

composición Composición del organigrama es equilibrada y completa, es decir, todas las partes interesadas requeridos
están suficientemente representados.

El alcance del control • El alcance del control de la estructura organizativa se define.

• El alcance del control es adecuado, es decir, la estructura organizativa tiene el derecho de tomar todas las
decisiones que debería.
• El alcance del control está en línea con las disposiciones generales de gobernanza empresarial.

Nivel de autoridad / derechos de • Los derechos de decisión de la Estructura de la organización están definidos y documentados.
decisión • se respetan y se cumplen (también un problema de cultura / comportamiento) los derechos de decisión de la
Estructura Organizativa.

La delegación de autoridad Delegation of authority is implemented in a meaningful way.

procedimientos de escalamiento Procedimientos de escalamiento se definen y aplican.

B-4.5
os de evaluación adecuados y realizar la evaluación
Edición de referencias cruzadas Comentarios

os objetivos de la empresa en el alcance.

4.
Evaluación Paso
En este paso, las métricas relacionadas para cada meta se revisarán y se
harán una evaluación de si se alcanzan los criterios definidos.

En este paso, las métricas relacionadas para cada meta se revisarán y se

harán una evaluación de si se alcanzan los criterios definidos.

gran las metas relacionadas con la TI en el alcance.

idas en la Etapa A-2.4.
Evaluación Paso
En este paso, las métricas relacionadas para cada meta se revisarán y se
harán una evaluación de si se alcanzan los criterios definidos.

En este paso, las métricas relacionadas para cada meta se revisarán y se

harán una evaluación de si se alcanzan los criterios definidos.

En este paso, las métricas relacionadas para cada meta se revisarán y se

harán una evaluación de si se alcanzan los criterios definidos.
 En este paso, las métricas relacionadas para cada meta se revisarán y se
harán una evaluación de si se alcanzan los criterios definidos.

En este paso, las métricas relacionadas para cada meta se revisarán y se

harán una evaluación de si se alcanzan los criterios definidos.

En este paso, las métricas relacionadas para cada meta se revisarán y se

harán una evaluación de si se alcanzan los criterios definidos.

En este paso, las métricas relacionadas para cada meta se revisarán y se

harán una evaluación de si se alcanzan los criterios definidos.

erente para que los requisitos de gobernanza empresarial que deben cumplir, que cubre los
s yobjetivos
os competencias '.
del Proceso (resultados), es decir, evaluar la efectividad del Proceso.

Evaluación Paso
En este paso, las métricas relacionadas para cada meta se revisarán y se
harán una evaluación de si se alcanzan los criterios definidos.

En este paso, las métricas relacionadas para cada meta se revisarán y se

harán una evaluación de si se alcanzan los criterios definidos.

normalmente a través de una serie de actividades, y un proceso bien diseñado implementará

des.

pruebas) si la práctica de gestión se implementa de manera efectiva a través de las siguientes

pruebas) si la práctica de gestión se implementa de manera efectiva a través de las siguientes

 pruebas) si la práctica de gestión se implementa de manera efectiva a través de las siguientes

a,pruebas)
tolerancia al práctica
si la riesgo, ladeseguridad,
gestión selosimplementa
valores éticos, códigoefectiva
de manera de conducta, la responsabilidad
a través de las siguientesy

pruebas) si la práctica de gestión se implementa de manera efectiva a través de las siguientes

pruebas) si la práctica de gestión se implementa de manera efectiva a través de las siguientes

adecuada y coherente de la información (datos).

ra garantizar
pruebas) si la la seguridad
práctica y los controles
de gestión efectivos
se implementa sobre los
de manera sistemas
efectiva de información
a través y de
de las siguientes

pruebas) si la práctica de gestión se implementa de manera efectiva a través de las siguientes

tos cambiantes).
proceso) que se espera que estén presentes (diseño del proceso).
Criterios: Todos los productos de trabajo enumerados deben existir
demostrable y ser utilizado.

Evaluación Paso
Aplicar las técnicas de auditoría apropiados para determinar para cada
producto de trabajo:
• Existencia de un producto de trabajo
• Uso apropiado del producto de trabajo

o, lo que equivale a la consecución de un nivel de capacidad de proceso _____.

los queesperados.
valores necesitan para estar en conformidad con las políticas.
las políticas y los Evaluación
marcos. Paso

Verifique que el conjunto de políticas es exhaustivo en su cobertura.

Verifique que el conjunto de políticas está actualizado. Esto, al menos, se

requiere:
• Una validación periódica de todas las políticas que se mantienen están al
día
• Una indicación de la fecha de caducidad de las políticas 'o la fecha de la
última modificación

Verifique la flexibilidad del conjunto de las políticas, es decir, que está

estructurado de tal manera que es fácil añadir o actualizar las políticas como
las circunstancias lo requieren.

• Verifique que las políticas están disponibles para todos los interesados​​.
• Verifique que las políticas son fáciles de navegar y tener una estructura
lógica y jerárquica.

Evaluar en qué medida se logró el Principios, Políticas y Pautas de ciclo de vida.

la revisión
ncipios, de estey ciclo
políticas marcosde vida está contemplado
de diseño, por la eldefinición.
es decir, evaluar grado en que se espera se apliquen
Evaluación Paso
 Verifique que el alcance del marco se describe y la fecha de validez se
indica.

• Verificar que el procedimiento de excepción y la escalada se describe,

explica y se conoce comúnmente.
• A través de la observación de una muestra representativa, compruebe que
la excepción y el procedimiento de escalada no se ha convertido en un
procedimiento estándar de facto.

Verifique que el mecanismo de comprobación del cumplimiento y no

cumplimiento consecuencias se describen claramente y se hacen cumplir.

pel tiene que operar, incluyendo:

eos.
la función,
Entenderescómo
decir:estos objetivos contribuyen a la consecución de los objetivos de la empresa

efinen objetivos específicos. En ese caso, el profesional de aseguramiento utilizará técnicas de

Evaluación Paso
• Verifique si los principios de funcionamiento estén debidamente
documentados.
• Verifique que las reuniones ordinarias se llevan a cabo como se define en
los principios de funcionamiento.
• Verificar que los informes de reuniones / minuto están disponibles y son
significativos.

Evaluar si la composición de la estructura organizativa es equilibrada y

completa, es decir, todos los actores necesarios están suficientemente
representados.

• Compruebe si se ha definido el alcance del control de la Estructura

Organizativa.
• Evaluar si el ámbito de control es adecuada, es decir, la estructura
organizativa tiene el derecho de tomar todas las decisiones que debería.
• Verificar y evaluar si el alcance del control está en línea con las
disposiciones generales de gobernanza empresarial.

• Verificar que los derechos de decisión de la Estructura de la organización

están definidas y documentadas.
• Verifique si los derechos de decisión de la Estructura Organizativa se
cumplan y respeten.

Compruebe si la delegación de autoridad se implementa de una manera

significativa.

Verificar la existencia y aplicación de procedimientos de escalamiento.