universidad regional autonoma de los andes...
Post on 28-Oct-2018
221 Views
Preview:
TRANSCRIPT
UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES UNIANDES – IBARRA
FACULTAD DE SISTEMAS MERCANTILES PROYECTO DE INVESTIGACIÓN
PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS
TEMA: “MODELO DE GOBIERNO DE TI PARA LA GESTION DE LA
EMPRESA SAITEL MATRIZ IBARRA” AUTOR: TLGO. NARVAEZ FIGUEROA HERALDO AZAEL ASESOR: ING. LOZADA TORREZ EDWIN FABRICIO
AMBATO – ECUADOR
2016
CERTIFICACIÓN DEL ASESOR
ING. EDWIN FABRICIO LOZADA
ASESOR DE TESIS
CERTIFICO:
Que la presente investigación del tema " MODELO DE GOBIERNO DE TI PARA LA
GESTION DE LA EMPRESA SAITEL MATRIZ IBARRA " ha sido desarrollada
íntegramente por el Tlgo. Heraldo Azael Narváez Figueroa, el mismo que se ajusta a
las normas vigentes en la Universidad Regional Autónoma de los Andes
(UNIANDES); en consecuencia, autorizo su presentación para los fines legales
pertinentes. Facultando hacer uso de la presente, en los trámites correspondientes
para su graduación.
Atentamente,
ING.EDWIN FABRICIO LOZADA TORRES
C.C.:1802313740
DECLARACIÓN DE AUTORIA DEL PROYECTO
Yo, Heraldo Aza el Narváez Figueroa, portador de la cedula Nro. 1002852497,
declaro bajo juramento, que el trabajo de investigación que presento, “MODELO DE
GOBIERNO DE TI PARA LA GESTION DE LA EMPRESA SAITEL MATRIZ
IBARRA”, es de mi autoría y que he consultado las referencias bibliográficas que se
incluyen en este documento, respetando sus fuentes.
TGLO. HERALDO AZAEL NARVAEZ FIGUEROA
C.C. 1002852497
DEDICATORIA
La presente tesis la dedico a Dios,
a mis padres, Mis hermanos y mi
bello hijo Samael Aron, quienes me motivaron
e impulsaron siempre a continuar
con mi preparación profesional.
AGRADECIMIENTO
A las Autoridades de la Universidad Regional Autónoma
de los Andes, “UNIANDES”, Por brindarme la oportunidad
de crecer profesionalmente y nutrirme más de
conocimientos.
Al Ing. Roberto López por tener el tiempo, para compartir
sus conocimientos y ser de valiosa ayuda para la
elaboración de mi tesis.
Al Ing. Edwin Fabricio Lozada por su constancia y valiosa
colaboración como Director de Tesis en la elaboración de
mi trabajo final.
INDICE DE CONTENIDOS
CERTIFICACIÓN DEL ASESOR
DECLARACIÓN DE AUTORIA DEL PROYECTO
DEDICATORIA
AGRADECIMIENTO
INDICE DE CONTENIDOS
ÍNDICE DE GRAFICOS
ÍNDICE DE TABLAS
RESUMEN EJECUTIVO
EXECUTIVE SUMMARY
INTRODUCCION ......................................................................................................... 1
Antecedentes de la investigación .......................................................................... 1
Planteamiento del problema .................................................................................. 3
Formulación ........................................................................................................... 5
Delimitación del problema...................................................................................... 5
Objeto de investigación y campo de acción ........................................................... 5
Identificación de la línea de investigación ............................................................. 5
Objetivos ................................................................................................................ 5
Idea a defender ...................................................................................................... 6
Justificación ........................................................................................................... 6
Metodología a emplear .......................................................................................... 7
Resumen de la estructura de la tesis ..................................................................... 8
Aporte teórco, significación práctica y novedad ..................................................... 8
CAPITULO I. .............................................................................................................. 10
MARCO TEORICO .................................................................................................... 10
1. ORIGEN Y EVOLUCION DEL OBJETO DE INVESTIGACION. .......................... 10
1.1. TIC ....................................................................................................................... 10
1.1.1. Función de tic ................................................................................................ 10
1.2. TECNOLOGÍA DE INFORMACIÓN (TI) .............................................................. 10
1.3. GOBIERNO DE TI ............................................................................................... 11
1.3.1. Áreas del Gobierno de TI .............................................................................. 12
1.4. GESTIÓN DE SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN ............ 14
1.5. MARCOS DE REFERENCIA (FRAMEWORKS) .................................................. 14
1.5.1. CMMI ............................................................................................................ 15
1.5.2. Normas ISO .................................................................................................. 15
1.5.2.1. ISO/IEC 38500:2008 .................................................................................. 15
1.5.2.2. ISO/IEC 27000 ........................................................................................... 16
1.5.3. TOGAF .......................................................................................................... 17
1.5.4. COSO ........................................................................................................... 18
1.5.5. ITIL ................................................................................................................ 18
1.5.6. PMBOK ......................................................................................................... 19
1.5.7. COBIT ........................................................................................................... 21
1.5.7.1. Evolución de COBIT ................................................................................. 21
1.5.7.2. Beneficios para las empresas. ................................................................... 21
1.5.7.3. Valor para las partes interesadas .............................................................. 22
1.5.7.4. El marco de COBIT 5 ................................................................................. 22
1.5.7.5. Los principios de COBIT 5 ......................................................................... 22
Principio 1: Satisfacer las necesidades de las partes interesadas ............................. 23
Principio 2: Cubrir la empresa extremo-a-extremo ..................................................... 24
Principio 3: Aplicar un marco de referencia único integrado ...................................... 25
Principio 4: Hacer posible un enfoque holístico ......................................................... 25
Principio 5. Separar el Gobierno de la Gestión: ......................................................... 26
1.5.7.6. Cascada de metas de COBIT 5 ................................................................. 27
1.5.7.7. Dimensiones de los catalizadores ............................................................. 31
1.5.7.8. Modelo de referencia procesos habilitadores de COBIT 5 ........................ 31
1.5.7.9. Dominios de COBIT 5 ................................................................................ 32
1.6. EMPRESA DE SAITEL MATRIZ IBARRA ........................................................... 34
1.6.1. Misión ............................................................................................................ 34
1.6.2. Visión ............................................................................................................ 35
1.6.3. Objetivo General ........................................................................................... 35
1.6.3.1. Objetivos específicos ................................................................................. 35
1.6.3.2. Objetivos operativos .................................................................................. 35
1.6.4. Matriz Foda “SAITEL.EC” ............................................................................. 37
1.6.5. Orgánico funcional de SAITEL.EC ................................................................ 38
1.7. CONCLUSIONES PARCIALES DEL CAPITULO ................................................ 39
CAPITULO II. ............................................................................................................. 40
MARCO METODOLOGICO ....................................................................................... 40
2.1. CARACTERIZACIÓN DEL SECTOR ................................................................... 40
2.2. DESCRIPCIÓN DEL PROCEDIMIENTO METODOLÓGICO .............................. 40
2.2.1. Modalidad de investigación ........................................................................... 40
2.2.2. Tipo de investigación .................................................................................... 41
2.2.3. Métodos, Técnicas e Instrumentos ............................................................... 41
2.2.3.1. Métodos ..................................................................................................... 41
2.2.3.1.1. Método Deductivo ................................................................................... 41
2.2.3.1.2. Método Inductivo .................................................................................... 41
2.2.3.2. Técnicas de recolección de datos .............................................................. 42
2.2.3.3. Instrumentos .............................................................................................. 42
2.2.3.4. Población y muestra de la investigación .................................................... 42
2.2.3.4.1. Población ................................................................................................ 42
2.2.3.4.2. Muestra .................................................................................................. 43
2.2.4. Interpretación de resultados (gráficos y cuadros) ......................................... 43
2.3. PROPUESTA DEL INVESTIGADOR. .................................................................. 52
2.4. CONCLUSIONES PARCIALES DEL CAPITULO ................................................ 52
CAPITULO III. ............................................................................................................ 53
MARCO PROPOSITIVO ............................................................................................ 53
3.1. TEMA ................................................................................................................... 53
3.2. OBJETIVOS ......................................................................................................... 53
3.2.1. Objetivo General ........................................................................................... 53
3.3. DESARROLLO DE LA PROPUESTA .................................................................. 53
3.3.1. Cascada de Metas de Cobit 5 ....................................................................... 54
3.3.2. Estrategia de negocio ................................................................................... 54
3.3.2.1. Metas de Gobierno de TI como está actualmente la matriz de Saitel. ....... 55
3.3.2.2. Metas de TI como está actualmente la Matriz de Saitel ............................ 57
3.3.3. Hacia donde queremos llegar con el modelo que plantea Cobit ................... 61
3.3.4. Priorización de Metas de TI vs Metas corporativas. ...................................... 65
3.3.5. Aplicación del modelo de procesos de TI...................................................... 69
3.3.5.1. Mapear y priorizar Procesos de TI ............................................................. 69
3.3.6. Procesos propuestos para la Matriz de Saitel. .............................................. 74
3.3.7. Gobierno de TI .............................................................................................. 75
3.3.8. Gestión de TI ................................................................................................ 75
3.3.9. Descripción de procesos de TI ...................................................................... 77
3.3.9.1. EDM01 Asegurar el establecimiento y mantenimiento del marco de
referencia de gobierno ............................................................................................... 77
3.3.9.2. EDMO02 Asegurar la Entrega de Beneficios ............................................. 79
3.3.9.3. EDMO03 Asegurar la Optimización del Riesgo ......................................... 81
3.3.9.4. EDMO05 Asegurar la Transparencia hacia las Partes Interesadas ........... 83
3.3.9.5. AP001 Gestionar el Marco de Gestión de TI ............................................. 84
3.3.9.6. AP002 Gestionar la Estrategia ................................................................... 87
3.3.9.7. AP003 Gestionar la Arquitectura Empresarial ........................................... 89
3.3.9.8. AP011 Gestionar la Calidad ....................................................................... 91
3.3.9.9. AP012 Gestionar el Riesgo ........................................................................ 93
3.3.9.10. BAI02 Gestionar la definición de requisitos ............................................ 95
3.3.9.11. BAI04 Gestionar la Disponibilidad y la Capacidad ................................. 97
3.3.9.12. BAI08 Gestionar el Conocimiento........................................................... 99
3.3.9.13. BAI09 Gestionar los Activos ................................................................. 101
3.3.9.14. DSS01 Gestionar Operaciones ............................................................ 103
3.3.9.15. DSS02 Gestionar Peticiones e Incidentes de Servicio ......................... 105
3.3.9.16. DSS03 Gestionar Problemas ............................................................... 107
3.3.9.17. DSS04 Gestionar la Continuidad .......................................................... 109
3.3.9.18. MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad
112
3.4. CONCLUSIONES PARCIALES DEL CAPITULO .............................................. 113
CONLUSIONES FINALES ....................................................................................... 115
RECOMENDACIONES ............................................................................................ 116
BIBLIOGRAFIA ........................................................................................................ 117
REFERENCIAS
ANEXOS
ÍNDICE DE GRAFICOS
Figura 1, Evolución De Cobit...................................................................................... 21
Figura 2: Principios de Cobit ...................................................................................... 23
Figura 3: Principio 1 ................................................................................................... 24
Figura 4: Objetivo del Gobierno. ................................................................................ 24
Figura 5: Roles, Actividades y relaciones. ................................................................. 24
Figura 6: Los 7 Habilitadores ..................................................................................... 25
Figura 7: Separar el Gobierno de la Gestión. ............................................................. 27
Figura 8: Cascada de metas de Cobit 5. .................................................................... 28
Figura 9: Metas Corporativas ..................................................................................... 30
Figura 10: Metas de TI. .............................................................................................. 31
Figura 11: Catalizadores. ........................................................................................... 31
Figura 12: Organigrama Funcional Saitel. .................................................................. 38
Figura 13: Pregunta 1. ............................................................................................... 43
Figura 14: Pregunta 2. ............................................................................................... 44
Figura 15: Pregunta 3. ............................................................................................... 45
Figura 16: Pregunta 4. ............................................................................................... 46
Figura 16: Pregunta 5. ............................................................................................... 46
Figura 17: Pregunta 6. ............................................................................................... 47
Figura 18: Pregunta 7. ............................................................................................... 48
Figura 19: Pregunta 8. ............................................................................................... 48
Figura 20: Pregunta 9. ............................................................................................... 49
Figura 21: Pregunta 10. ............................................................................................. 50
Figura 22: Pregunta 11. ............................................................................................. 51
Figura 23: Pregunta 12. ............................................................................................. 51
Figura 29. Mapa de procesos planteados. ................................................................. 75
ÍNDICE DE TABLAS
Tabla 1. Normas ISO /IEC 2700 ................................................................................. 17
Tabla 2: Matriz Foda Saitel. ....................................................................................... 37
Tabla 3: Recolección de datos Personal Matriz Saitel. .............................................. 42
Tabla 4: Población. .................................................................................................... 43
Tabla 5: Pregunta 1. ................................................................................................... 43
Tabla 6: Pregunta 2. ................................................................................................... 44
Tabla 7: Pregunta 3. ................................................................................................... 45
Tabla 8: Pregunta 4. ................................................................................................... 45
Tabla: 9 Pregunta 5. ................................................................................................... 46
Tabla 10: Pregunta 6. ................................................................................................. 47
Tabla 11: Pregunta 7. ................................................................................................. 47
Tabla 12: Pregunta 8. ................................................................................................. 48
Tabla 13: Pregunta 9. ................................................................................................. 49
Tabla 14: Pregunta 10. ............................................................................................... 49
Tabla 15: Pregunta 11. ............................................................................................... 50
Tabla 16: Pregunta 12. ............................................................................................... 51
Tabla 17: Objetivos de la empresa. ............................................................................ 55
Tabla 18: Metas Corporativas – Objetivos. ................................................................ 55
Tabla 19: Objetivos de negocio que más aportan a los objetivos de gobierno. ......... 56
Tabla 20: Metas de Gobierno priorizadas. ................................................................. 57
Tabla 21: Mapeo de las metas de TI. ......................................................................... 60
Tabla 22. Priorización de metas de TI. ....................................................................... 61
Tabla 23: Metas corporativas Cobit 5 vs. Preguntas de Gobierno y Gestión. ............ 64
Tabla 24: Metas de Gobierno ya priorizadas.............................................................. 65
Tabla 25: Metas de Ti vs Metas de Gobierno............................................................. 68
Tabla 26: Metas de TI según Cobit ya priorizadas. .................................................... 68
Tabla 27: Mapeo procesos de TI vs. Metas de TI. ..................................................... 73
Tabla 28: Procesos de TI mapeados. ........................................................................ 74
Tabla 30: Procesos de Gobierno de TI. ..................................................................... 75
Tabla 31: Procesos planteados Gestión de TI. .......................................................... 76
Tabla 32: Matriz RACI. ............................................................................................... 77
Tabla 33: EDMO01 .................................................................................................... 79
Tabla 34. EDMO02. ................................................................................................... 81
Tabla 35.EDMO03. .................................................................................................... 82
Tabla 36. EDMO05. ................................................................................................... 84
Tabla 37: APO01. ....................................................................................................... 86
Tabla 38: APO02. ....................................................................................................... 88
Tabla 39:APO03. ........................................................................................................ 90
Tabla 40: APO011. ..................................................................................................... 92
Tabla 41: APO012. ..................................................................................................... 94
Tabla 42: BAI02. ........................................................................................................ 96
Tabla 43: BAI04. ........................................................................................................ 98
Tabla: 44: BAI08. ..................................................................................................... 100
Tabla: 45 BAI09. ...................................................................................................... 102
Tabla: 46 DSS01. ..................................................................................................... 104
Tabla: 47 DSS02. ..................................................................................................... 106
Tabla 48: DSS03. ..................................................................................................... 108
Tabla 49: DSS04. ..................................................................................................... 111
Tabla 50:MEA01. ..................................................................................................... 113
RESUMEN EJECUTIVO
El presente trabajo de titulación se realiza un modelo de gobierno para la mejora de
procesos de Tecnología de Información (TI) para la empresa Saitel Matriz Ibarra
basándose en el marco de referencia de procesos de los objetivos de control para la
información y las tecnologías relacionadas COBIT 5, desarrollado por ISACA
(Sistemas De Información de Auditoria y Asociación de Control).
Esta investigación permite identificar los procesos de mayor relevancia que se
necesitan implementar, para alcanzar una eficiencia operativa.
Este modelo a fin de satisfacer las necesidades de las partes interesadas, de la
empresa de Saitel, para obtener beneficios, optimizar riesgos y recursos, se alinea
las metas empresariales con las metas de TI y se obtiene un listado de procesos
para ser aplicados por parte de la empresa.
Se realiza un análisis de la situación actual de la empresa determinando las metas
más sensibles que se tiene que trabajar para una mejor operatividad de TI.
Para saber hacia dónde se quiere llegar, se realiza el análisis en base a las
cuestiones vs. las metas de gobierno todo esto de acuerdo al giro del negocio, se
priorizan las metas de Ti y se evalúa los procesos de Ti, obteniendo los de mayor
relevancia y detallando quien de la estructura organizacional los deben llevar a cabo
para su realización.
EXECUTIVE SUMMARY
This study presents the development of a governance framework to improve the IT
information technology process for the company Saitel Matriz Ibarra, which is based
on framework of processes of the control objective for information and the
technologies related to COBIT 5 developed by ISACA (Information Systems Audit and
Control Association).
This research identifies the most important processes that need to be implemented to
achieve operational efficiency.
In order to meet the needs of stakeholders of the company Saitel this model seeks
benefits, risks optimization and optimize resources. This company aims are aligned
with the IT aims and a list of processes to be applied by the company is obtained.
An analysis of the current situation of the company is made while determining the
most sensitive targets that need to be improved to achieve a better IT operation.
To know what the final outcome is, an analysis based on topics versus governance
goals is preformed taking into account the business goals IT goals are prioritized and
IT processes are evaluated. The most important processes are obtained and the
responsible of the organizational structure who has to implement then is identified.
1
INTRODUCCION
Antecedentes de la investigación
A medida que la era de la tecnología avanza y con ella la información necesita mayor
tratamiento, entendimiento y seguridad, surge que una empresa busque conocer y
aprovechar conceptos relacionados con el Gobierno de Tecnologías de la
Información (TI).
Es aquí que se utiliza el Gobierno de TI el cual es un conjunto de acciones que
realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos
de la forma más eficiente en respuesta a requisitos regulatorios, operativos o del
negocio.
Para que un Gobierno de Ti tenga una buena aceptación es necesario la utilización
de Cobit que proviene del inglés (Control Objectives for Information and related
Technology) Objetivos de Control para Información y Tecnologías Relacionadas es
una guía de mejores prácticas presentado como framework, dirigida al control y
supervisión de tecnología de la información (TI). Mantenido por ISACA (en inglés:
Information Systems Audit and Control Association) y el IT GI (en inglés: IT
Governance Institute), tiene una serie de recursos que pueden servir de modelo de
referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework,
objetivos de control, mapas de auditoría, herramientas para su implementación y
principalmente, una guía de técnicas de gestión.
Se utiliza como documentación y modelado a COBIT 5 que es una edición del grupo
Isaca lanzado el 10 de abril de 2012, es la última edición del framework
mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de
TI que tiene a la tecnología y a la información como protagonistas en la creación de
valor para las empresas.
2
COBIT 5 se basa en la integración de importantes marcos y normas como Val IT y
Risk IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO
relacionadas en esta norma.
Se realizó una investigación previa en repositorios digitales sobre el marco de
referencia de Cobit 5, determinando como puede ayudar a mejorar los procesos de
negocios en el Gobierno y Administración de TI que hoy en día se aplican para todo
tipo de empresas, sean estas públicas o privadas.
El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y
prácticas de la Organización relacionadas con la TI:
Gestión vs Gobierno
Importancia del Gobierno de TI
Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor
óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y
la optimización de los niveles de riesgo y utilización de los recursos.
El desarrollo tecnológico va provocando que las empresas dedicadas a servicios de
Internet tengan un rápido crecimiento tanto en infraestructura, como en personal,
haciéndose vulnerables en su forma de trabajar pues se omiten factores importantes
para una adecuada Gestión de TI.
Hoy en día se puede decir que la tecnología es preponderante y está expuesta a
cambios naturales principalmente y cambios tecnológicos mismos que hacen que
vaya cambiando los procesos para la realización de estos trabajos.
También se llevó a cabo una investigación preliminar en bibliotecas y repositorios
digitales de otras Universidades ecuatorianas, encontrándose el trabajo de tesis de la
3
ingeniera Tatiana E. Cevallos, presentado en el 2013 con la denominación de
“CREACIÓN E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN INTEGRAL DEL
RIESGO LABORAL Y SEGURIDAD INDUSTRIAL PARA SOLUCIONES
AVANZADAS INFORMÁTICAS Y TELECOMUNICACIONES SAITEL.EC.”. En esta
tesis se realiza la creación de una gestión de riesgos laborales y seguridades
industriales en dicha empresa, en donde se evidencia los procesos que realizan los
trabajadores al momento de una instalación de infraestructura, instalación
domiciliaria, revisión del servicio y cambio de domicilio en el cliente final.
Planteamiento del problema
Saitel.ec es una empresa que se creó hace aproximadamente 6 años con el nombre
de Solinfo, dedicada a la venta de computadores y a la prestación del servicio de
internet satelital Posteriormente, en la ciudad de Ibarra, provincia de Imbabura el 20
de abril del 2009 los señores Freddy Marlon Rosero Cuaspa, Marco Tulio López
Rosero y Lenin Geovanny López Rosero decidieron constituir una Sociedad Civil de
Hecho que se rige por la estipulaciones del contrato de constitución y leyes del
Ecuador, la misma que funciona bajo la razón social SOLUCIONES AVANZADAS
INFORMÁTICAS Y TELECOMUNICACIONES “SAITEL.EC”. El tiempo de duración
de la sociedad estipulado en el contrato social es de veinte y cinco años de
funcionamiento desde la fecha antes establecida. La empresa se encuentra
representada por el Ing. Freddy Marlon Rosero Cuaspa que se encuentra registrado
como gerente general de la misma desde el inicio de su constitución hasta la
actualidad.
SOLUCIONES AVANZADAS INFORMÁTICAS Y TELECOMUNICACIONES
“SAITEL.EC” comenzó con aproximadamente 100 clientes y con 5 personas que se
dedicaban a la prestación del servicio de internet siendo los primeros en la provincia
de Imbabura en ofertarlo. La calidad del servicio prestado por SAITEL permitió un
rápido crecimiento y la captación de un mayor número de clientes.
La sociedad de hecho “SAITEL.EC” estableció su objeto social en las siguientes
actividades:
4
1. Comercialización de servicio de internet,
2. Distribución de componentes y repuestos para computadoras,
3. Instalación de cableado estructurado.
La matriz se encuentra ubicada en la ciudad de Ibarra en las calles Olmedo 4-63 y
Grijalva; además cuenta con cuatro sucursales. Las sucursales se encuentran
ubicadas en:
Cayambe, ubicado en las calles Franklin Rivadeneira Nro. L165 y altar Barrio
San Ruperto;
Joya de los Sachas, ubicado en la 10 de Agosto entre las calles 12 de
Febrero y García Moreno diagonal al nuevo mercado Municipal.
Tulcán, ubicado en las calles Maldonado y Carabobo junto a la iglesia La
Inmaculada.
Chone, ubicado Av. 7 de Agosto y Atahualpa esq. frente al Sindicato de
Choferes
Quito Norte, ubicado en las calles Ubicado en las calles Calle Carihuairazo
Oe 12-232 Esq. y Galo Plaza Lasso.
Quito Sur, Ubicado en la Av. Mariscal Sucre 0E6 y calle German Moiner
edificio de recepciones Montecarlo planta baja.
El Quinche, Ubicado en las calles Tulcán y Quito junto al Banco del
Pichincha.
Latacunga, Ubicado en las calles Calle Quito 14-56, Pasaje La Catedral.
Costa Norte Esmeraldas, Ubicado en las calles Sucre y Rocafuerte Esq.
Edificio Leverone 3er Piso
De acuerdo a un análisis realizado en la empresa se puede determinar qué:
A. La problemática respecto a la falta de toma de decisiones estratégicas
corporativas y de TI, en donde hace falta lo siguiente:
o Evaluar necesidades, condiciones y opciones de los interesados.
5
o Dirigir a través de la priorización y toma de decisiones.
o Supervisar (Monitorear) el desempeño y cumplimiento contra la
dirección y los objetivos acordados.
B. Hace falta de una gestión adecuada la cual permita:
o Planear, Construir, Ejecutar y Supervisar (Monitor) Las actividades
fijadas y acordadas en las estrategias.
Formulación
¿Cómo mejorar el Gobierno de TI para la gestión de la empresa Saitel matriz Ibarra?
Delimitación del problema
Delimitación espacial: La investigación se llevó a cabo en la Empresa de Saitel
matriz Ibarra, ubicada en la ciudad de Ibarra provincia de Imbabura.
Objeto de investigación y campo de acción
Campo de acción: Modelo de Gobierno de TI para la gestión de la empresa Saitel
matriz Ibarra.
Objeto de estudio: tecnologías de la Información.
Identificación de la línea de investigación
El presente trabajo investigativo se enmarca en la línea denominada:
Tecnologías de Información y Comunicaciones.
Objetivos
General
Diseñar un modelo de gobierno de TI para la gestión de la empresa Saitel
matriz Ibarra.
6
Específicos
Fundamentar bibliográficamente los Modelos de Gobierno de TI y la
gestión de empresas.
Investigar el marco de referencia COBIT 5 sobre el gobierno de TI.
Identificar, definir y priorizar las necesidades actuales y futuras de la
empresa en relación a servicios de TI.
Desarrollar un plan de alto nivel en base a un modelo de gobierno de TI
para la gestión de la empresa Saitel E.C. matriz Ibarra.
Idea a defender
Establecer un modelo de Gobierno de TI para la gestión de la empresa Saitel matriz
Ibarra.
Justificación
Del planteamiento del problema se deduce que este incide directamente en una falta
de toma de decisiones estratégicas corporativas y de TI.
Con el modelo de gobierno de Ti que se desarrolle permitirá a la Organización
construir un marco efectivo de Gobierno y Administración basado en una serie
holística, que optimiza la inversión en tecnología e información así como su uso en
beneficio de las partes interesadas.
Hoy en día se está haciendo evidente que grandes empresas públicas y privadas
utilizan un marco de negocio para el gobierno y la gestión de las TI de la empresa
para asumir grandes riesgos de Tecnología de Información los cuales pueden ser
aceptables para la empresa en donde se necesite.
Adquirir mejor control sobre soluciones de TI.
Creación de valor a través del uso efectivo e innovador de la TI de la empresa
7
Satisfacción del usuario de negocio con el nivel de compromiso y los servicios
de las TI
Buscar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y
las políticas internas relevantes
Relaciones mejoradas entre las necesidades de negocio y metas de TI
Metodología a emplear
La investigación de campo será llevada a cabo utilizando los siguientes métodos:
Histórico – Lógico: La historicidad de los procesos de gobierno de TI en la empresa
es muy importante para el diagnóstico de la problemática, es por ello que se aplicará
este método investigativo que nos llevará a una deducción lógica de la problemática
descrita anteriormente.
Analítico – Sintético: Este par dialectico será muy útil, el momento de elaborar el
fundamento científico que sustenta la solución del problema, ya que se recopilará la
información existentes en Trabajos de Investigación de Grado acerca del marco de
referencia de Cobit 5, internet y se la sintetizará en el denominado marco teórico.
Inductivo – Deductivo: En el desarrollo del trabajo investigativo se pretende llegar a
una solución particular para deducir una solución general a la problemática de la
empresa.
Técnicas e instrumentos: Se utilizará la técnica investigativa denominada encuesta,
esta permite recopilar información mediante un instrumento conocido como
cuestionario que es elaborado previamente por el investigador y que se lo aplica a la
población inmersa en la problemática en la empresa.
La entrevista, es un acto de comunicación oral que se establece entre dos o más
personas (el entrevistador y el entrevistado o los entrevistados) con el fin de obtener
una información o una opinión. En este caso la entrevista estará dirigida a los socios
8
fundadores de la empresa lo cual se llevara a cabo con un instrumento denominado
guía de entrevista.
Resumen de la estructura de la tesis
La presente investigación considera como partes esenciales de su estructura tres
capítulos, inicializando con el primero que es el marco teórico dividido en cuatro
epígrafes: Tic, Marco de referencia Cobit 5.0, Gestión Ti, la empresa Saitel Matriz
Ibarra, luego el capítulo II el marco metodológico y planteamiento de la propuesta
según los resultados alcanzados, dando a conocer el desarrollo de la propuesta, en
el capítulo III se hace un análisis de los resultados alcanzados en la investigación,
finalizando con las conclusiones y recomendaciones generales así como anexos y
bibliografía
Aporte teórico, significación práctica y novedad
Aporte teórico: El presente trabajo de investigación se basa en el tema de “Modelo
de gobierno de TI para la gestión de la empresa Saitel Matriz Ibarra”, donde el
objetivo primordial es el Diseñar un modelo de gobierno de ti para la gestión de la
empresa, el trabajo se basa en una investigación profunda sobre estudios similares
en la Biblioteca de la Universidad Técnica del Norte, y linkografías de temas como
Auditorías realizadas con Cobit y modelos de gestión de seguridad de información
que han servido como guías para la elaboración de este trabajo.
Novedad: Hoy en día el uso de información con el uso de la tecnología va en
aumento es aquí que se debe tener una adecuada gestión de TI para que sean
garantizados todos los procesos, además el Marco de referencia de Cobit 5.0
propone un mejor desempeño para la organización a través de un monitoreo
constante de cada proceso ejecutado para la gobernanza de una empresa.
Significación práctica: En la actualidad se tiene que tener claro el debido manejo
de la gestión de TI para que los procesos efectuados sean los correctos y pueda la
9
empresa surgir de entre la competencia y obtenga los beneficios para que surja con
el servicio brindado.
10
CAPITULO I.
MARCO TEORICO
1. ORIGEN Y EVOLUCION DEL OBJETO DE INVESTIGACION.
1.1. TIC
Tecnologías de la información y la comunicación (TIC). El término tecnologías de la
información se usa a menudo para referirse a cualquier forma de hacer cómputo.
Como nombre de un programa de licenciatura, se refiere a la preparación que tienen
estudiantes para satisfacer las necesidades de tecnologías en cómputo y
comunicación de gobiernos, seguridad social, escuelas y cualquier tipo de
organización.
Planificar y gestionar la infraestructura de TIC de una organización es un trabajo
difícil y complejo que requiere una base muy sólida de la aplicación de los conceptos
fundamentales de áreas como las ciencias de la computación, así como de gestión y
habilidades del personal. Se requieren habilidades especiales en la comprensión, por
ejemplo de cómo se componen y se estructuran los sistemas en red, y cuáles son
sus fortalezas y debilidades. (Wikipedia, Tecnologias_de_la_informacion).
1.1.1. Función de tic
Entregar valor a la organización (alineación con el negocio) (Casallas)
Con calidad de servicio y oportunidad
Con costos de servicio adecuados
Mitigando los riesgos
1.2. TECNOLOGÍA DE INFORMACIÓN (TI)
Diversos autores han propuesto conceptos sobre TI:
11
Morton (1988) definió TI como un ente que comprende 5 componentes
básicos: computadoras, tecnología de comunicaciones, estaciones de trabajo,
robótica y circuitos de computadoras.
Huber (1990) definió TI como un dispositivo para transmitir, manipular,
analizar explotar información, en el cual una computadora digital procesa
información integral a comunicaciones de usuarios y tareas de decisión.
Lau et al. (2001) indicaron que desde inicios de los 1970s, las aplicaciones de
computadoras estuvieron orientadas a automatización de oficina y soporte a
decisiones, tales como: procesamiento de palabras, hojas de cálculo, y
sistemas de información gerencial. Ahora se ha cambiado el énfasis de
computación mono usuario a colaboración y conexión (Chatterjee, 1991).
El término tecnología de información comprende tanto al hardware, redes y
comunicaciones, así como al software de base (sistemas operativos, servidores
proxy, manejadores de bases de datos, servidores web, etc.) y los sistemas de
información (sistemas que soportan procesos relacionados al manejo de la
información en las organizaciones), así como los servicios relacionados, que se usan
en las organizaciones para el logro de sus objetivos.
1.3. GOBIERNO DE TI
Es el conjunto de acciones que realiza el área de TI en coordinación con la alta
dirección para movilizar sus recursos de la forma más eficiente en respuesta a
requisitos regulatorios, operativos o del negocio. Constituye una parte esencial del
gobierno de la empresa en su conjunto y aglutina la estructura organizativa y
directiva necesaria para asegurar que TI soporta y facilita el desarrollo de los
objetivos estratégicos definidos.
Es el alineamiento de las Tecnologías de la información y la comunicación (TI) con la
estrategia del negocio. Hereda las metas y la estrategia a todos los departamentos
de la empresa, y proporciona el mejor uso de la tecnología y de sus estructuras
12
organizativas para alcanzarlas. (Wikipedia, Gobernanza de las tecnologías de la
información)
Es debido a esta relación de dependencia entre TI y los con requerimientos de la
empresa, que la Gobernabilidad de TI se ha tornado en un eje clave en el ámbito
organizacional.
Por ello surge Cobit, como una herramienta efectiva basada en estándares técnicos
internacionales de: Tecnologías de la Información, Control interno y Auditoría, y
Negocios, que provee un marco para el control y la gobernabilidad de TI mediante
una estructura de relaciones y procesos para dirigir y controlar la empresa con el
objeto de alcanzar los objetivos estratégicos empresariales y añadir valor mientras se
balancean los riesgos versus el retorno sobre TI y sus procesos.
1.3.1. Áreas del Gobierno de TI
El gobierno de TI se agrupa en cinco áreas: Alineamiento estratégico (vinculando TI
con los planes de negocio), Entrega de valor (ejecutando la propuesta de valor
ofrecida), Gestión de Riesgos (aversión o propensión al riesgo), Gestión de Recursos
(supervisión e inversiones), Mediciones de Performance (seguimiento y control).
Alineación Estratégica: Se enfoca en garantizar la alineación estratégica entre
los planes de negocio y de TI y en alinear las operaciones de TI con las
operaciones de la empresa. (Institute, 2007).
Como ya se estableció, la estrategia de TI debe responder a las estrategias de
la organización de donde se concluye que las aplicaciones deben atender las
necesidades funcionales y de información de los procesos, los cuales a su
vez, soportan el cumplimiento de los objetivos estratégicos. De esta manera el
ciclo se completa:
13
o La Estrategia TI nace de la Estrategia Empresarial y la soporta
o Las aplicaciones nacen de la estrategia TI y soportan los procesos
o Los procesos soportan la Estrategia Empresarial
Entrega de Valor: Se refiere a ejecutar las propuestas de valor a todo lo largo
del ciclo de entrega, asegurando siempre que TI genere los beneficios
prometidos en la estrategia, haciendo énfasis en optimizar los costos y en
brindar el valor intrínseco de TI.
La función de TI se debe gestionar para cumplir con los requerimientos de
soporte a las decisiones y a los procesos de la organización (estratégicos,
misionales y de soporte).
Administración de Recursos: Se trata de la inversión óptima así como la
administración adecuada de los recursos críticos de TI: Aplicaciones,
información, infraestructura y personas. Los temas claves se refieren a la
optimización de conocimiento e infraestructura.
La responsabilidad de TI va más allá de administrar los recursos que tiene
bajo su manejo. Estos recursos deben ser usados para entregar de manera
óptima los productos de información para lo cual fueron adquiridos.
Administración de Riesgos. Requiere conciencia de los riesgos por parte de
los altos ejecutivos de la empresa, un claro entendimiento del apetito de
riesgo, que tiene la empresa, comprender los requerimientos de cumplimiento,
transparencia de los riesgos significativos para las empresas y la inclusión de
las responsabilidades de administración de riesgos dentro de la organización.
El Gobierno de TI debe velar porque ningún evento impida la entrega de los
productos y la continuidad del servicio de TI. Para esto se debe hacer una
adecuada administración de los riesgos de la función TI y de los procesos
14
soportados por TI, por parte del funcionario de la organización a quien se haya
asignado esta responsabilidad.
Medición del desempeño: Rastrea y monitorear la estrategia de
implementación, la terminación del proyecto, el uso de los recursos, el
desempeño de los procesos y la entrega del servicio, con el uso de
herramientas como Balance Score Card que traducen la estrategia en acción
para lograr las metas medibles más allá del registro convencional.
1.4. GESTIÓN DE SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN
La gestión de servicios de tecnologías de la información (en inglés IT Service
Management, ITSM) es una disciplina basada en procesos, enfocada en alinear los
servicios de TI proporcionados con las necesidades de las empresas, poniendo
énfasis en los beneficios que puede percibir el cliente final. GSTI propone cambiar el
paradigma de gestión de TI, por una colección de componentes enfocados en
servicios de punta a cabo usando distintos marcos de trabajo con las "mejores
prácticas", como por ejemplo la Information Technology Infrastructure Library (ITIL) o
el Escm (Enabled Service Capability Model). (Wikipedia, ITIL)
1.5. MARCOS DE REFERENCIA (FRAMEWORKS)
La Arquitectura Empresarial (AE) busca hacer más productiva y competitiva una
organización a través del uso de la tecnología como herramienta de ejecución e
integración de sus procesos. Pero para que la AE sea posible es necesario adelantar
una serie de pasos que abarquen desde el diagnóstico hasta la guía de
implementación de los nuevos sistemas de información; por esta razón existen
metodologías estándar que ayudan a las organizaciones en su proceso de adopción
de AE.
15
1.5.1. CMMI
Capability Maturity Model Integration. El modelo CMMI-DEV proporciona una
orientación para aplicar las buenas prácticas CMMI en una organización de
desarrollo. Las buenas prácticas del modelo se centran en las actividades para
desarrollar productos y servicios de calidad con el fin de cumplir las necesidades de
clientes y usuarios finales.
El modelo CMMI-DEV V1.3 es una colección de buenas prácticas de desarrollo
procedentes de la industria y del gobierno, que se ha generado a partir de la
Arquitectura y Marco1 de CMMI V1.3. CMMIDEV está basado en el CMMI Model
Foundation o CMF (es decir, componentes del modelo comunes a todos los modelos
y constelaciones CMMI2) e incorpora el trabajo realizado por organizaciones de
desarrollo para adaptar CMMI para su uso en el desarrollo de productos y servicios.
1.5.2. Normas ISO
1.5.2.1. ISO/IEC 38500:2008
El gobierno de Australia en el año 2005 publicó el estándar AS8015-2005 Corporate
Governance of Information and Communication Technology donde define un modelo
de referencia de gobierno de las TI. Este estándar fue conocido localmente como
AS8015 (2005). Posteriormente ISO/IEC lo adoptó y publicó como 38500:2008.
(Corporate Governance of Information )
Su objetivo es proporcionar un marco de principios para que la dirección de las
organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las tecnologías de
la información (TI's).
Para hacerlo, promueve el uso eficiente, efectivo y aceptable de TI en toda la
organización definiendo seis principios para asegurar el buen gobierno corporativo de
TI:
1. Responsabilidad
16
2. Estrategia
3. Adquisición
4. Rendimiento
5. Conformidad
6. Conducta humana
Para estos principios para TI se aplican tres tareas principales:
Evaluar
Dirigir
Monitorear
1.5.2.2. ISO/IEC 27000
ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission),
que proporcionan un marco de gestión de la seguridad de la información utilizable
por cualquier tipo de organización, pública o privada, grande o pequeña.
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares,
entre ellos:
ISO 27001 Es la norma principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma
con la cual se certifican por auditores externos los SGSI de las organizaciones. En
su Anexo A, enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de
Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo
de sus SGSI.
ISO 27007 Consiste en una guía de auditoría de un SGSI
ISO 27011 Consiste en una guía de gestión de seguridad de la información específica para
telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de
Telecomunicaciones).
ISO 27031 Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la
información y comunicaciones.
17
ISO 27032 Consiste en una guía relativa a la ciberseguridad.
ISO 27033 Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura
de seguridad de redes, escenarios de redes de referencia, aseguramiento de las
comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de
comunicaciones en redes mediante VPNs y diseño e implementación de seguridad
en redes. Provendrá de la revisión, ampliación y remuneración de ISO 18028.
ISO 27034 Consiste en una guía de seguridad en aplicaciones.
ISO 27799 Es un estándar de gestión de seguridad de la información en el sector de la salud
aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las
anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215.
ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la
salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.
ISO 27799 :
2008
Especifica un conjunto detallado de controles y directrices de buenas prácticas para
la gestión de la salud y la seguridad de la información por organizaciones de salud
y otros custodios de la información de salud en base a garantizar un mínimo nivel
necesario de seguridad apropiado para la organización y circunstancias que van a
mantener la confidencialidad, integridad y disponibilidad de información personal de
salud.
ISO
27799:2008
se aplica a la información en salud en todos sus aspectos y en cualquiera de sus
formas, toma la información (palabras y números, grabaciones sonoras, dibujos,
vídeos e imágenes médicas), sea cual fuere el medio utilizado para almacenar (de
impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual
fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o
por correo), ya que la información siempre debe estar adecuadamente protegida
Tabla 1. Normas ISO /IEC 2700 Elaborado Tglo. Heraldo Narváez, Fuente: Normas ISO /IEC 2700
1.5.3. TOGAF
TOGAF, de las siglas en inglés 'The Open Group Architecture Framework', es una de
las metodologías más populares para desarrollar AE. "TOGAF es una herramienta
para asistir en la aceptación, creación, uso, y mantenimiento de arquitecturas. Está
basado en un modelo iterativo de procesos apoyado por las mejores prácticas y un
conjunto reutilizable de activos arquitectónicos existentes".
18
"La clave de TOGAF es el método - Método de Desarrollo de la Arquitectura (ADM
por sus siglas en inglés) - para desarrollar una Arquitectura Empresarial que aborda
las necesidades del negocio". El ADM de TOGAF funciona de modo iterativo, es
decir, por fases que avanzan progresivamente pero que a la vez permiten la revisión
y ajuste de cada una de ellas durante el proceso. (Molano, 2015).
1.5.4. COSO
Committe of Sponsoring Org. of the Treadway Commission. Es La provisión de la
estructura que permite determinar los objetivos de la Organización y supervisar el
rendimiento, a fin de asegurar que los objetivos son cumplidos.
Este modelo de referencia presenta las siguientes aceptaciones:
Eficacia y eficiencia
Confiabilidad de la información
Cumplimiento con leyes y reglamentaciones
Este modelo se compone de cinco (5) elementos esenciales:
1. Ámbito del Control
2. Establecimiento de objetivos
3. Actividades de control
4. Información y comunicación
5. Supervisión y monitoreo
1.5.5. ITIL
La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente
abreviada ITIL (del inglés Information Technology Infrastructure Library), es un
conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la
información, el desarrollo de tecnologías de la información y las operaciones
relacionadas con la misma en general. ITIL da descripciones detalladas de un
extenso conjunto de procedimientos de gestión ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos
19
procedimientos son independientes del proveedor y han sido desarrollados para
servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI15.
(itil.osiatis.es)
1.5.6. PMBOK
Project Management Body of Knowledge. El PMBOK es una colección de procesos y
áreas de conocimiento generalmente aceptadas como las mejores prácticas dentro
de la gestión de proyectos. El PMBOK es un estándar reconocido internacionalmente
(IEEE Std 1490-2003) que provee los fundamentos de la gestión de proyectos que
son aplicables a un amplio rango de proyectos (Institute, Project Management.,
2004). (Institute P. M., 2013)
Los procesos se traslapan e interactúan a través de un proyecto o fase y son
descritos en términos de:
Entradas (documentos, planes, diseños, etc.).
Herramientas y Técnicas (mecanismos aplicados a las entradas).
Salidas (documentos, productos, etc.).
Los 5 grupos básicos de procesos son:
1. Iniciación:
2. Planificación:
3. Ejecución:
4. Seguimiento y Control:
5. Cierre:
Las nueve áreas del conocimiento mencionadas en el PMBOK son:
1) Gestión de la Integración del Proyecto: Incluye los procesos y actividades
necesarios para identificar, definir, combinar, unificar y coordinar los diversos
procesos y actividades de la dirección de proyectos dentro de los grupos de
procesos de dirección de proyectos.
20
2) Gestión del Alcance del Proyecto: Incluye los procesos necesarios para
garantizar que el proyecto incluya todo el trabajo requerido para completarla
con éxito.
3) Gestión del Tiempo del Proyecto: Incluye los procesos requeridos para
administrar la finalización del proyecto a tiempo.
4) Gestión de los Costos del Proyecto: Incluye los procesos involucrados en
estimar, presupuestar y controlar los costos de modo que se complete el
proyecto dentro del presupuesto aprobado.
5) Gestión de la Calidad del Proyecto: Incluye los procesos y actividades de la
organización ejecutante que determinan responsabilidades, objetivos y
políticas de calidad a fin de que el proyecto satisfaga las necesidades por la
cuales fue emprendido.
6) Gestión de los Recursos Humanos del Proyecto: Incluye los procesos que
organizan, gestionan y conducen el equipo del proyecto.
7) Gestión de las Comunicaciones del Proyecto: Incluye los procesos requeridos
para garantizar que la generación, la recopilación, la distribución, el
almacenamiento, la recuperación y la disposición final de la información del
proyecto sean adecuados, oportunos y entregada a quien corresponda
(interesados del proyecto o stakeholders)
8) Gestión de los Riesgos del Proyecto: Incluye los procesos relacionados con
llevar a cabo la planificación de la gestión, identificación, el análisis, la
planificación de respuesta a los riesgos, así como su monitoreo y control en un
proyecto.
9) Gestión de las Adquisiciones del Proyecto: Incluye los procesos de compra o
adquisición de los productos, servicios o resultados que es necesario obtener
fuera del equipo del proyecto.
21
1.5.7. COBIT
COBIT (Control Objetives for Information and related Technology) ha sido
desarrollado por las ISACF (Information Systems Audit and Control Foundation)
como un estándar para las buenas prácticas de seguridad y control en IT.
Es un estándar que busca responder a las necesidades de negocio, manteniendo al
mismo tiempo una independencia con respecto a las plataformas de IT. (COBIT,
2012).
1.5.7.1. Evolución de COBIT
Figura 1, Evolución De Cobit
Fuente, Cobit, www.isaca.org/cobit,
1.5.7.2. Beneficios para las empresas.
Las organizaciones y sus ejecutivos están haciendo esfuerzos para:
Mantener información de calidad para las decisiones del negocio.
Generar valor para el negocio desde las inversiones habilitadas por TI
Lograr excelencia operativa mediante la aplicación eficiente de la tecnología.
Mantener el riesgo de TI a niveles aceptables.
Optimizar el costo de la tecnología y los servicios de TI.
22
1.5.7.3. Valor para las partes interesadas
Se requiere un buen gobierno y una buena administración de los activos de TI
y de la información.
Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la
TI como cualquier otra parte importante del negocio.
Cada día aumentan los requisitos externos, tanto legales como de
cumplimiento regulatorio y contractual, relacionados con el uso de la
información y la tecnología en la Organización, amenazando el patrimonio si
no se cumplen.
Cobit 5 proporciona un marco global que ayuda a las empresas a alcanzar sus
metas y entregar valor a través de un Gobierno y gestión eficaz de TI.
1.5.7.4. El marco de COBIT 5
Ayuda a crear valor óptimo de TI por mantener un equilibrio entre la obtención de
beneficios y la optimización de los niveles de riesgo y el uso de los recursos.
Permite que la información y la tecnología relacionada sean gobernadas y
gestionadas de manera integral para toda la empresa, abarcando de principio a fin el
negocio y áreas funcionales, teniendo en cuenta los intereses de las partes
interesadas internas y externas. (Francavilla).
1.5.7.5. Los principios de COBIT 5
El marco de referencia COBIT 5 basa su metodología en cinco principios claves para
el gobierno y la gestión de las TI a nivel organizacional.
23
Figura 2: Principios de Cobit
Fuente COBIT 5 Framework-Spanish.pdf, Figura 2.
Principio 1: Satisfacer las necesidades de las partes interesadas
Las empresas existen para crear valor para sus partes interesadas manteniendo el
equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso
de recursos. (COBIT, 2012)
Para cada decisión se puede, y se debe, hacer las siguientes preguntas:
¿Quién recibe los beneficios?
¿Quién asume el riesgo?
¿Qué recursos se necesitan?
24
Figura 3: Principio 1
Fuente: COBIT 5 Framework-Spanish.pdf, Figura 3
Principio 2: Cubrir la empresa extremo-a-extremo
COBIT 5 permite cubrir la empresa de extremo a extremo, cubriendo todos los
procesos de la empresa, incluyendo todas las áreas funcionales, de TI, personal
interno y externo, todo lo que sea relevante para el gobierno y la gestión de las TI
relacionadas. (COBIT, 2012)
La función de TI es considerada como un activo más de la empresa no se enfoca
solo en la función que realiza.
Los Componentes Claves de un Sistema de Gobierno.
Figura 4: Objetivo del Gobierno.
Fuente: COBIT 5 Framework-Spanish.pdf, Figura 8.
Figura 5: Roles, Actividades y relaciones.
Fuente. COBIT 5 Framework-Spanish.pdf, Figura 9
25
Principio 3: Aplicar un marco de referencia único integrado
El marco de referencia Cobit 5.0 aplica un marco de referencia único integrando
estándares, marcos de trabajo y buenas prácticas relacionadas con TI y con la
finalidad de ser un marco principal para el gobierno y gestión de las TI de la
empresa. (COBIT, 2012)
Principio 4: Hacer posible un enfoque holístico
El marco de referencia Cobit 5 define 7 habilitadores para apoyar la implementación
de un sistema de gobierno y gestión para las TI de la empresa, todo esto basado en
principios.
Los 7 habilitadores:
Figura 6: Los 7 Habilitadores
Fuente. COBIT 5 Framework-Spanish.pdf, Figura 12
Principios, políticas y marcos de referencia son el vehículo para traducir el
comportamiento deseado en guías prácticas para la gestión del día a día.
Los procesos describen un conjunto organizado de prácticas y actividades
para alcanzar ciertos objetivos y producir un conjunto de resultados que
soporten las metas generales relacionadas con TI.
Las estructuras organizativas son las entidades de toma de decisiones clave
en una organización.
26
La Cultura, ética y comportamiento de los individuos y de la empresa son muy
a menudo subestimados como factor de éxito en las actividades de gobierno y
gestión.
La información impregna toda la organización e incluye toda la información
producida y utilizada por la empresa.
La información es necesaria para mantener la organización funcionando y bien
gobernada, pero a nivel operativo, la información es muy a menudo el
producto clave de la empresa en sí misma.
Los servicios, infraestructuras y aplicaciones incluyen la infraestructura,
tecnología y aplicaciones que proporcionan a la empresa, servicios y
tecnologías de procesamiento de la información.
Las personas, habilidades y competencias están relacionadas con las
personas y son necesarias para poder completar de manera satisfactoria
todas las actividades y para la correcta toma de decisiones y de acciones
correctivas.
Principio 5. Separar el Gobierno de la Gestión:
El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión. Estas dos
disciplinas engloban diferentes tipos de actividades, requieren estructuras
organizativas diferentes y sirven para diferentes propósitos. (COBIT, 2012)
Gobierno: Asegura que se evalúan las necesidades, condiciones y opciones de las
partes interesadas para determinar que se alcanzan las metas corporativas
equilibradas y acordadas; estableciendo la dirección a través de la priorización y la
toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la
dirección y metas acordadas.
Gestión: Planifica, construye, ejecuta y controla actividades alineadas con la
dirección establecida por el cuerpo de gobierno para alcanzar las metas
empresariales.
27
Cobit 5 propone que las organizaciones implementen los procesos de gobierno y
gestión de tal manera que las áreas claves queden cubiertas.
Figura 7: Separar el Gobierno de la Gestión.
Fuente COBIT 5 Framework-Spanish.pdf, Figura 15.
1.5.7.6. Cascada de metas de COBIT 5
Cada empresa opera en un contexto diferente; este contexto está determinado por
factores externos (el mercado, la industria, geopolítica, etc.) y factores internos (la
cultura, organización, umbral de riesgo, etc.) y requiere un sistema de gobierno y
gestión personalizado.
La cascada de metas de COBIT 5 es el mecanismo para traducir las necesidades de
las partes interesadas en metas corporativas, metas relacionadas con las TI y metas
catalizadoras específicas, útiles y a medida.
28
Figura 8: Cascada de metas de Cobit 5.
Fuente COBIT 5 Framework-Spanish.pdf, Figura 4.
Paso 1. Los Motivos de las Partes Interesadas Influyen en las Necesidades de las
Partes Interesadas
Las necesidades de las partes interesadas están influenciadas por diferentes
controladores, p. ej., cambios de estrategia, un negocio y entorno regulatorio
cambiantes y las nuevas tecnologías.
Paso 2. Las Necesidades de las Partes Interesadas Desencadenan Metas
Empresariales
Las necesidades de las partes interesadas pueden estar relacionadas con un
conjunto de metas empresariales genéricas.
Estas metas corporativas han sido desarrolladas utilizando las dimensiones del
cuadro de mando integral (CMI. En inglés: Balanced Scorecard, BSC) y representan
29
una lista de objetivos comúnmente usados que una empresa puede definir por sí
misma.
COBIT 5 define 17 objetivos genéricos, que incluye la siguiente información:
La dimensión del CMI en la que encaja la meta corporativa
Las metas corporativas
La relación con los tres objetivos principales de gobierno -- realización de
beneficios, optimización de riesgos y optimización de recursos („P‟ indica una
relación primaria y „S‟ una relación secundaria, es decir una relación menos
fuerte).
Paso 3. Metas de corporativas en cascada hacia metas TI
El logro de metas empresariales requiere un número de resultados relacionados con
las TI, que están representados por las metas relacionadas con la TI. Se entiende
como relacionados con las TI a la información y tecnologías relacionadas, y las
metas relacionadas con las TI se estructuran en dimensiones del CMI. COBIT 5
define 17 metas relacionadas con las TI...
Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas Catalizadoras
Lograr las metas TI requiere la aplicación y uso exitoso de una serie de
catalizadores. Estos catalizadores incluyen:
Principios, políticas y marcos de referencia
Procesos
Estructuras organizativas
Cultura, ética, y comportamiento
Información
Servicios, infraestructuras y aplicaciones
Personas, habilidades y competencias
30
Para cada catalizador se puede definir un conjunto de metas específicas y relevantes
en apoyo a las metas TI. En este documento, se proporcionan metas de proceso en
las descripciones detalladas de proceso.
Figura 9: Metas Corporativas
Fuente COBIT 5 Framework-Spanish.pdf, Figura 5.
31
Figura 10: Metas de TI.
Fuente COBIT 5 Framework-Spanish.pdf, Figura 6.
1.5.7.7. Dimensiones de los catalizadores
Todos los catalizadores tienen una serie de dimensiones comunes. Dicha serie de
dimensiones comunes:
Proporciona una manera común, sencilla y estructurada para tratar los
catalizadores
Permite a una entidad manejar sus interacciones complejas
Facilita resultados exitosos de los catalizadores
.
Figura 11: Catalizadores.
Fuente COBIT 5 Framework-Spanish.pdf, Figura 13.
1.5.7.8. Modelo de referencia procesos habilitadores de COBIT 5
El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y
prácticas de la Organización relacionadas con la TI en dos áreas principales –
Gobierno y Administración – con la Administración a su vez dividida en dominios de
procesos:
32
El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de
cada proceso se definen las prácticas para Evaluar, Dirigir y Monitorear
(EDM).
Los cuatro dominios de la ADMINISTRACIÓN están alineados con las áreas
de responsabilidad de Planificar, Construir, Operar y Monitorear (PBRM por su
sigla en inglés).
1.5.7.9. Dominios de COBIT 5
El marco de referencia Cobit 5 define varios procesos de gobierno y gestión todos
con el objetivo de cubrir las metas tanto de empresas grandes en las que se maneja
un considerable número de procesos o empresas pequeñas que manejan un número
reducido de procesos.
Este modelo proporciona un marco integral para supervisar y medir el desempeño de
TI en las organizaciones integrando buenas prácticas de gestión y representando
todos los procesos que regularmente se encuentran en las mismas relacionados con
las actividades de TI (COBIT5, 2012)
Existen dos dominios principales de procesos que divide Cobit 5 detallados a
continuación:
Gobierno: contiene un dominio con cinco procesos de gobierno, y dentro de
cada uno de ellos se establecen prácticas de evaluación, orientación y
supervisión (EDM).
Gestión: contiene cuatro dominios e igualmente dentro de cada uno de ellos
se establecen prácticas de planificación, implementación, soporte y evaluación
de las TI.
o Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
o Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
o Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
o Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
33
Los dos dominios principales de procesos que divide Cobit 5 detallados
anteriormente se clasifican en un número de 37 procesos de gobierno y gestión, los
cuales son una guía integra y referencial para evaluar y diagnosticar el estado actual
de cómo se encuentra la gestión de las TI en las empresas. A continuación se
detallan los 37 procesos contenidos en los cinco dominios principales de Cobit.
Evaluar, Orientar y Supervisar (EDM)
01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno.
02 Asegurar la entrega de beneficios.
03 Asegurar la optimización del riesgo.
04 Asegurar la optimización de recursos.
05 Asegurar la transparencia hacia las partes interesadas.
Alinear, Planificar y Organizar (APO)
01 Gestionar el marco de gestión de TI.
02 Gestionar la estrategia.
03 Gestionar la arquitectura empresarial.
04 Gestionar la innovación.
05 Gestionar el portafolio.
06 Gestionar el presupuesto y los costes.
07 Gestionar los recursos humanos.
08 Gestionar las relaciones.
09 Gestionar los acuerdos de servicio.
10 Gestionar los proveedores.
11 Gestionar la calidad.
12 Gestionar el riesgo.
13 Gestionar la seguridad.
Construir, Adquirir e Implementar (BAI)
01 Gestionar programas y proyectos.
34
02 Gestionar la definición de requisitos.
03 Gestionar la identificación y construcción de soluciones.
04 Gestionar la disponibilidad y la capacidad.
05 Gestionar la introducción del cambio organizativo.
06 Gestionar los cambios.
07 Gestionar la aceptación del cambio y la transición.
08 Gestionar el conocimiento.
09 Gestionar los activos.
10 Gestionar la configuración.
Entrega, Servicio y Soporte (DSS)
01 Gestionar operaciones.
02 Gestionar peticiones e incidentes de servicio.
03 Gestionar problemas.
04 Gestionar la continuidad.
05 Gestionar servicios de seguridad.
06 Gestionar controles de procesos de negocio.
Supervisar, Evaluar y Valorar (MEA)
01 Supervisar, evaluar y valorar el rendimiento y la conformidad.
02 Supervisar, evaluar y valorar el sistema de control interno.
03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos.
1.6. EMPRESA DE SAITEL MATRIZ IBARRA
1.6.1. Misión
Proveer a nuestros clientes y usuarios en el Ecuador de productos y servicios tele
comunicacionales de calidad que le permitan conectarse al mundo de forma
inmediata, permanente y sin límite de cobertura. (Saitel, 2015).
35
1.6.2. Visión
SAITEL se consolida como una empresa líder en telecomunicaciones y es un
referente por la calidad de sus productos y servicios que contribuyen al desarrollo del
país.
1.6.3. Objetivo General
Incrementar en el año 2017 la cobertura de prestación de servicios, venta de
productos y la implementación de la infraestructura de telecomunicaciones, mediante
un continuo y adecuado desarrollo empresarial.
1.6.3.1. Objetivos específicos
Implementar un Sistema de Gestión Técnica de crecimiento, escalabilidad y
tolerancia a fallos de la infraestructura.
Incrementar la capacidad de captación de clientes, cobertura de mercado y
ventas.
Mejorar el Sistema de Gestión Administrativo – Financiero
1.6.3.2. Objetivos operativos
Reducir en un 50% el número de fallas en la red de acceso.
Incrementar en un 30% el número de clientes y usuarios en la Matriz Ibarra.
Incrementar en un 100% el número de clientes y usuarios de la Regional
Amazónica.
Incrementar en un 50% el número de clientes y usuarios en la Regional Centro
Norte.
Incrementar en un 50% el número de clientes y usuarios en la Regional Norte.
Incrementar en un 4% la capacidad de atención al cliente en cobranzas,
soporte técnico y gestión de órdenes de servicio.
Incrementar en un 80% la recaudación de cartera vencida.
Incrementar en un 20% el desempeño laboral de los trabajadores de Saitel.ec.
36
Alcanzar y mantener un 85% de cumplimiento en el Sistema de Gestión de
Seguridad Industrial y Salud Ocupacional.
Desarrollar e implementar un nuevo plan de cuentas presupuestarias y
contables acorde a las NIFS.
Implementar el sistema de control de inventarios de los bienes de control y
activos fijos, bienes de consumo, productos y materiales.
Implementar en el Sistema Factura PYMES los módulos de nómina,
facturación electrónica, gestión de cobranzas, registro de enlaces,
automatización de activaciones.
37
1.6.4. Matriz Foda “SAITEL.EC”
FORTALEZAS OPORTUNIDADES
1. Infraestructura propia.
2. Políticas de reinversión.
3. Recursos Económicos.
4. Recursos Materiales.
5. Consejo administrativo.
6. Seguridad Industrial y Salud ocupacional.
1. Bienestar laboral
2. Medicina preventiva
3. Aceptación del servicio
4. Avance constante de la
tecnología.
DEBILIDADES AMENAZAS
1. Alta probabilidad de accidentes de trabajo y
enfermedades ocupacionales.
2. Les falta el P.O.A. (Planificación, Organización y
Administración) de los trabajos.
3. No están preparados para eventualidades en caso
de desastres naturales.
4. Falta de seguimiento de trabajos realizados.
5. Brindar un buen servicio al cliente.
6. Capacitación constante al personal.
7. Tener una bitácora de cada nodo (punto de
distribución del internet).
8. Definir un plan estratégico de TI
1. Riesgos.
2. Accidentes.
3. Enfermedades profesionales
4. Altos costo de siniestralidad.
5. Multas por incumplimiento de la
normativa.
6. Estabilidad laboral al trabajador.
Tabla 2: Matriz Foda Saitel. Elaborado: Tglo. Heraldo Narváez.
38
JUNTA GENERAL DE SOCIOS
PRESIDENCIA GERENCIA
ASESORIA JURIDICA
SECC. COBRANZAS
SECC. ASESORIA LEGAL
DPTO. ADMINISTRATIVO
SECC. SELECCION DE PERSONAL
SECC. CAPACITACION
SECC. SALUD SALUD OCUPACIONAL
DPTO. FINANCIERO
SECC. CONTABILIDAD
SECC. RECAUDACION
UNIDAD DE SALUD Y SEGURIDAD
OCUPACIONAL
SERVICIO MEDICO
COMITE DE SEGURIDAD Y SALUD
OCUPACIONAL
DPTO. TECNICO
SECC. SOPORTE.
SECC. INSTALACIONES Y MANTENIMINTO
DPTO. COMERCIALIZACION
SECC. MARKETIN
DPTO. SISTEMAS
SECC. ANALISIS DE SISTEMAS
SUC. CAYAMBE SUC. TULCAN SUC. CHONE SUC. JOYA SACHAS
SUBGERENCIA
1.6.5. Orgánico funcional de SAITEL.EC
Figura 12: Organigrama Funcional Saitel.
Elaborado: Tglo. Heraldo Narváez
39
1.7. CONCLUSIONES PARCIALES DEL CAPITULO
En base a la fundamentación teórica citada se puede concluir lo siguiente:
Se cita varios conceptos de modelos de marcos de trabajo que permiten un mejor
Gobierno de TI.
Los marcos de trabajo se basan en, mejores prácticas y normas son útiles solamente
si son adoptados y adaptados de manera efectiva.
El modelo de gobierno de TI tiene varios factores que logran una mejor organización
de la empresa a través de varios marcos de trabajo los cuales indican como separar
el gobierno de la administración y dando a cada una de estas procesos eficientes
para mejorar el TI en la empresa.
Hoy en día para una mejor gobernanza de TI se han implementado procesos Cobit
los cuales contienen muchas herramientas eficientes y que son certificaciones
internacionales para un mejor desempeño de la Gobernabilidad de una empresa.
Se conoce a la empresa de Saitel como está conformada su estructura orgánico
funcional.
40
CAPITULO II.
MARCO METODOLOGICO
2.1. CARACTERIZACIÓN DEL SECTOR
La presente investigación que va enfocada a un modelo de gobierno de TI para la
gestión de la empresa, tomando en cuenta que la empresa de Saitel Matriz Ibarra
actualmente cuenta con oficinas propias ubicadas en las calles olmedo 4-63 y
Grijalva, además sus nodos de operaciones en telecomunicaciones cuentan con
avances tecnológicos para la prestación del servicio de internet, haciendo de esta
empresa una fuente de trabajo en la provincia de Imbabura.
2.2. DESCRIPCIÓN DEL PROCEDIMIENTO METODOLÓGICO
2.2.1. Modalidad de investigación
La modalidad de investigación por ser la herramienta para desarrollar conocimiento
es más bien estable, convencional con criterios estandarizados y transversales que
permiten que el conocimiento sea comunicable en diferentes campos disciplinares,
contextos y regiones del planeta.
Es el idioma universal de la ciencia que posibilita el avance en todos los campos, el
intercambio y transferencia de tecnología, el consenso y el trabajo multidisciplinario
como tal esencial para el avance del conocimiento.
En este sentido la investigación está siempre vinculada a la realidad, al campo de
conocimiento disciplinar de aplicación, al contexto cultural, social y político en que se
desarrolla y se convierte en la fuente de generación de pensamiento libre y útil, cuya
difusión aproxima a científicos de diferentes campos disciplinares, enriquece la
formación universitaria y orienta a actores sociales relevantes.
41
Como metodología para el desarrollo de este proyecto integrador de carrera se utiliza
la metodología cuantitativa.
2.2.2. Tipo de investigación
Los tipos de investigación aplicados son: de campo y bibliográfica.
Investigación de campo: Se desarrolla en la empresa Saitel E.C., Matriz Ibarra donde
se evidencio la falta de un modelo de gobierno de ti para la mejor gestión de la
empresa en donde se analizan los roles de los administración, control, ejecución y
monitoreo.
Investigación bibliográfica: la información obtenida está basada en manuales, en
guías de procesos, en tesis, internet y otros.
2.2.3. Métodos, Técnicas e Instrumentos
2.2.3.1. Métodos
2.2.3.1.1. Método Deductivo
Parte de las observaciones particulares realizadas y mediante la formulación de
leyes y principios, permite generalizar un estudio detallado de los procesos para un
modelo de gobierno de Ti en la gestión de la Empresa, sus causas y consecuencias
con el fin de solucionar el problema plateado.
2.2.3.1.2. Método Inductivo
Se ha realizado un estudio general de los diferentes procesos que realiza la
empresa, para luego ir particularizando los aspectos más relevantes los cuales llegan
a identificar el problema y seleccionar las técnicas adecuadas de recolección de
datos, como las encuestas y entrevistas que dan luz verde para desarrollar este
proyecto.
42
2.2.3.2. Técnicas de recolección de datos
Entrevistas a las autoridades (3)
Encuestas a:
Función judicial 1
Personal Sistemas 2
Cobranzas y notificaciones 1
Contabilidad 2
Jefe de Seguridad 1
Cajas 2
Jefe área técnica 1
Soporte atención al cliente 4
Personal administrativo 3
Personal técnico 11
Personal márquetin 3
Tabla 3: Recolección de datos Personal Matriz Saitel. Elaboración Tglo. Heraldo Narváez Fuente: Dto. Recursos Humanos Matriz Saitel.
2.2.3.3. Instrumentos
Los instrumentos para la presente investigación son:
Guía de entrevistas
Libro de notas.
2.2.3.4. Población y muestra de la investigación
2.2.3.4.1. Población
Se cuenta con la siguiente población de la Matriz Saitel E.C.
Función No
Autoridades (Gerencia, Presidencia, Subgerencia) 3
Función judicial 1
Personal Sistemas 2
Cobranzas y notificaciones 1
Contabilidad 2
Jefe de Seguridad 1
43
Cajas 2
Jefe área técnica 1
Soporte atención al cliente 4
Personal administrativo 3
Personal técnico 11
Personal márquetin 3
Total 34
Tabla 4: Población. Elaboración: Tglo. Heraldo Narváez Fuente: Dto. Recursos Humanos Matriz Saitel.
2.2.3.4.2. Muestra
En vista que la población es muy baja no se aplicara una muestra, ya que a todos se
aplicaran las técnicas de recolección de datos.
2.2.4. Interpretación de resultados (gráficos y cuadros)
1. Conozco los procesos de TI para con el cliente.
SI 11
NO 23
TOTAL 34 Tabla 5: Pregunta 1. Elaboración: Tglo. Heraldo Narváez
Figura 13: Pregunta 1.
Elaboración: Tglo. Heraldo Narváez
10
23
SI NO
44
Un 11% de los encuestados conocen los procesos de TI, mientras que el 23%
de encuestados afirman no conocer los procesos de TI con el cliente, esto
muestra que hace falta un debido conocimiento acerca de estos procesos.
2. ¿Estoy realizando una operación de TI eficiente?
SI 16
NO 18
TOTAL 34 Tabla 6: Pregunta 2. Elaboración: Tglo. Heraldo Narváez
Figura 14: Pregunta 2.
Elaboración: Tglo. Heraldo Narváez
El 16% de los encuestados afirman realizar un trabajo eficiente de TI, en tanto
que el 18 % no realizan una operación eficiente de TI.
15 18
SI NO
45
3. ¿Están los usuarios finales satisfechos con la calidad del servicio de TI?
SI 14
NO 20
TOTAL 34 Tabla 7: Pregunta 3. Elaboración: Tglo. Heraldo Narváez
Figura 15: Pregunta 3.
Elaboración: Tglo. Heraldo Narváez
Se observa en la gráfica que 14% de los usuarios finales están conformes con
la calidad de servicio mientras que el 20% no está satisfecho con la calidad
del servicio de TI.
4. ¿Considero todos los riesgos relativos a TI?
SI 20
NO 14
TOTAL 34 Tabla 8: Pregunta 4. Elaboración: Tglo. Heraldo Narváez
14
20
SI
NO
46
Figura 16: Pregunta 4.
Elaboración: Tglo. Heraldo Narváez.
Se muestra en la gráfica que el 20 % de los usuarios finales consideran los
riesgos relativos a TI, mientras que el 14 % desconocen estos riesgos de TI.
5. ¿La oficina matriz de Saitel mantiene identificados y definidos los procesos
que ejecuta a través de manuales?
SI 13
NO 21
TOTAL 34 Tabla: 9 Pregunta 5. Elaboración: Tglo. Heraldo Narváez
Figura 16: Pregunta 5.
Elaboración: Tglo. Heraldo Narváez
20
14 SI
NO
13
21
SI
NO
47
El 13 % afirma que si está identificado y definidos los procesos, mientras que
el 21 % no conocen de algún tipo de proceso identificado en manuales.
6. Se ha asignado personal específico para la seguridad lógica y física de TI.
SI 24
NO 10
TOTAL 34 Tabla 10: Pregunta 6. Elaboración: Tglo. Heraldo Narváez
Figura 17: Pregunta 6.
Elaboración: Tglo. Heraldo Narváez
El 24% afirma que si se tiene el personal para la seguridad lógica y física,
mientras que el 10% no conocen.
7. Se Presenta informes a la Gerencia del desempeño de sus actividades
asignadas y realizadas.
SI 30
NO 4
TOTAL 34 Tabla 11: Pregunta 7. Elaboración: Tglo. Heraldo Narváez
24
10 SI
NO
48
Figura 18: Pregunta 7.
Elaboración: Tglo. Heraldo Narváez
El 30% afirma que si se lleva un registro de la actividades realizadas, en tanto
que el 4% no conoce ninguna operación que tenga realizada Gerencia.
8. Se lleva una bitácora sobre los procesos realizados.
SI 15
NO 19
TOTAL 33 Tabla 12: Pregunta 8. Elaboración: Tglo. Heraldo Narváez
Figura 19: Pregunta 8.
Elaboración: Tglo. Heraldo Narváez
El 15 % de los entrevistados afirman que si hay una bitácora de los procesos
realizados, en cambio que un 19% desconocen de esta bitácora.
30
4 SI
NO
15 19
SI
NO
49
9. Se lleva una adecuada planificación con todos los trabajos a realizarse.
SI 10
NO 24
TOTAL 34 Tabla 13: Pregunta 9. Elaboración: Tglo. Heraldo Narváez
Figura 20: Pregunta 9.
Elaboración: Tglo. Heraldo Narváez
El 10%de los encuestados afirman que si hay una adecuada planificación,
mientras que el 24% desconocen de la adecuada planificación.
10. Conoce de alguna normativa de calidad de servicio que se aplique en la matriz
Saitel.
Tabla 14: Pregunta 10. Elaboración: Tglo. Heraldo Narváez
10
24
SI
NO
SI 4
NO 30
TOTAL 34
50
Figura 21: Pregunta 10.
Elaboración: Tglo. Heraldo Narváez
El 4% conoce de la normativa de calidad, en cambio que el 30% no conocen
de normativas en cuanto a la calidad de servicio.
11. Con que frecuencia se capacita al personal sobre nuevas tendencias en TI
(hardware/ software).
0 A 3 MESES 4
3 A 6 MESES 8
6 MESES A UN AÑO 10
MAS DE UN AÑO 10
NUNCA 2
TOTAL 33 Tabla 15: Pregunta 11. Elaboración: Tglo. Heraldo Narváez
4
30
SI
NO
4
8
10
10
2
0 A 3 MESES
3 A 6 MESES
6 MESES A UNAÑO
MAS DE UNAÑO
51
Figura 22: Pregunta 11.
Elaboración: Tglo. Heraldo Narváez
El 4% indica que de 0 a 3 meses se capacita al personal, el 8% de 3 a 6
meses, el 10% indica que de 6 meses a un año, el 10% indica que más de un
año se capacita al personal y el 2% indica que nunca se realiza estas
capacitaciones.
12. Valore según su criterio el nivel de implementación del Plan de Contingencia
en la empresa.
MALO 4
REGULAR 6
BUENO 14
EXCELENTE 10
TOTAL 34
Tabla 16: Pregunta 12. Elaboración: Tglo. Heraldo Narváez
Figura 23: Pregunta 12.
Elaboración: Tglo. Heraldo Narváez
El 4% indica que el malo el plan de contingencia, el 6% manifiesta que es
regular la implementación, el 14 % indica que es bueno, el 10% asegura que
4
6
14
10 MALO
REGULAR
BUENO
EXCELENTE
52
es excelente. Esto indica que hay una buena implementación del plan de
contingencia.
2.3. PROPUESTA DEL INVESTIGADOR.
La propuesta que se presenta es la elaboración de un modelo de gobierno de ti para
la gestión de la empresa Saitel matriz Ibarra, en donde será utilizada la información
del marco de trabajo de COBIT 5 ayuda a las empresas a crear/obtener valor óptimo
de la TI, riesgos y recursos, en donde una gobernabilidad de Ti es para administrar y
gobernar la información y tecnología relacionada en toda la empresa.
Lo cual se pueden utilizar métodos que pueden ayudar a que la empresa pueda
llegar a obtener un diferente certificado internacional o local ya sea en calidad de
servicio o una normativa ISO.
Este marco de trabajo se fundamenta en 5 principios que permiten a la empresa
construir un efectivo marco de gobierno y administración de TI y se basa en un
conjunto holístico de 7 habilitadores.
2.4. CONCLUSIONES PARCIALES DEL CAPITULO
De lo anterior se puede concluir que:
Administrar el activo de la empresa.
Hace falta un mejor proceso de TI para los clientes.
No están claramente identificados los procesos que se realiza diariamente.
La mayoría de clientes no están de acuerdo con la calidad del servicio
proporcionado.
Hace falta una adecuada planificación para la utilización de los recursos de TI.
Se necesita un modelo de gobierno de TI para mejorar y corregir procesos con
los que se trabaja.
53
CAPITULO III.
MARCO PROPOSITIVO
3.1. TEMA
Modelo de gobierno de ti para la gestión de la empresa Saitel matriz Ibarra
3.2. OBJETIVOS
3.2.1. Objetivo General
Diseñar un modelo de gobierno de ti para la gestión de la empresa Saitel matriz
Ibarra.
3.2.2. Objetivo Especifico
Investigar el marco de referencia COBIT 5 sobre el gobierno de TI.
Identificar, definir y priorizar las necesidades actuales y futuras de la empresa
en relación a servicios de TI.
Desarrollar un plan de alto nivel en base a un modelo de gobierno de TI para
la gestión de la empresa Saitel E.C. matriz Ibarra.
Presentar un modelo de Gobierno de TI ante los administrativos de la empresa
de Saitel E.C. Matriz Ibarra.
3.3. DESARROLLO DE LA PROPUESTA
Cada empresa opera en un contexto diferente; este contexto está determinado por
factores externos (el mercado, la industria) y factores internos (la cultura,
organización, umbral de riesgo, etc.) y requiere un sistema de gobierno y gestión
personalizado.
54
En la empresa de Saitel se ha podido observar como de manera empírica se
manejan procesos que mantienen la operatividad y continuidad del negocio, por lo
que con la ayuda de un modelo de gobierno de TI para la gestión de la empresa, se
pueda identificar procesos los cuales hace falta implementar para una mejoría de TI
que la empresa maneja actualmente, con la utilización de Cobit 5 como marco de
referencia de procesos de TI reconocido de manera internacional que definen
procesos enmarcados en dos frentes de acción que son el gobierno y la gestión, se
propone a modelo de gobierno de TI para la gestión de la empresa de Saitel matriz
Ibarra.
3.3.1. Cascada de Metas de Cobit 5
La cascada de metas de COBIT 5 es el mecanismo para traducir las necesidades de
las partes interesadas en metas corporativas, metas relacionadas con las TI y metas
catalizadoras específicas, útiles y a medida. Esta traducción permite establecer
metas específicas en todos los niveles y en todas las áreas de la empresa en apoyo
de los objetivos generales y requisitos de las partes interesadas y así, efectivamente,
soportar la alineación entre las necesidades de la empresa y las soluciones y
servicios de TI.
3.3.2. Estrategia de negocio
Las estrategias de negocio son los objetivos planteados por la empresa Matriz Saitel
para lograr sus metas.
ID Metas de negocio objetivos de la empresa
Ob1 Implementar un Sistema de Gestión Técnica de crecimiento, escalabilidad y tolerancia a fallos
de la infraestructura.
Ob2 Incrementar la capacidad de captación de clientes
Ob3 Incrementar la cobertura de mercado y ventas.
Ob4 Mejorar el Sistema de Gestión Administrativo – Financiero
Ob5 Mejorar el ambiente laboral
55
Tabla 17: Objetivos de la empresa. Elaboración Tglo. Heraldo Narváez.
Aplicando el cuadro de mando integral de CMI quedaría.
CMI OBJETIVOS DE NEGOCIO
Financieras Mejorar el Sistema de Gestión Administrativo – Financiero
Cliente Incrementar la cobertura de mercado y ventas.
Interna Incrementar la capacidad de captación de clientes
Aprendizaje y
crecimiento
Mejorar el ambiente laboral
Implementar un Sistema de Gestión Técnica de crecimiento, escalabilidad y
tolerancia a fallos de la infraestructura.
Tabla 18: Metas Corporativas – Objetivos. Elaboración Tglo. Heraldo Narváez.
3.3.2.1. Metas de Gobierno de TI como está actualmente la matriz de Saitel.
A continuación se analizan las metas de gobierno vs los objetivos de negocio, en el
que se determina como está ahora la Matriz de Saitel, según los objetivos
empresariales de acuerdo a una escala de calificación de la siguiente manera.
Primaria = 5
Secundario = 3
Vacío = 0
Meta considerada > 50
Meta no considerada < = 50
56
Dimensión del CMI
Objetivos de negocio
Imp
lem
en
tar
un
Sis
tem
a d
e G
esti
ón
Técn
ica
de c
rec
imie
nto
,
esca
lab
ilid
ad
y t
ole
ran
cia
a f
allo
s d
e
la in
fra
estr
uctu
ra.
Incre
men
tar
la c
ap
acid
ad
de
cap
tació
n d
e c
lien
tes
Incre
men
tar
la c
ob
ert
ura
de m
erc
ad
o
y v
en
tas.
Mejo
rar
el S
iste
ma d
e G
esti
ón
Ad
min
istr
ati
vo
– F
inan
cie
ro
Mejo
rar
el am
bie
nte
lab
ora
l
Financiera 1.Valor para las partes interesadas de las Inversiones de Negocio
5 3 5 5 5 78
Interna 14. Productividad operacional y de los empleados
5 3 3 5 5 71 Aprendizaje y crecimiento
16. Personas preparadas y motivadas 3 5 3 3 5 65
Financiera 2. Cartera de productos y servicios competitivos
3 5 3 3 5 65 Financiera 5. Transparencia financiera 5 3 3 5 3 65
Cliente 9. Toma estratégica de Decisiones basada en Información
5 5 3 3 3 65
Cliente 8. Respuestas ágiles a un entorno de negocio cambiante
5 3 5 0 5 61
Interna 11. Optimización de la funcionalidad de los procesos de negocio
3 0 3 3 3 41
Interna 13. Programas gestionados de cambio en el negocio
3 0 3 3 3 41
Interna 15. Cumplimiento con las políticas internas 3 3 0 3 3 41
Financiera 3. Riesgos de negocio gestionados (salvaguarda de activos)
3 3 3 0 3 41
Financiera 4. Cumplimiento de leyes y regulaciones externas
0 3 3 3 3 41
Cliente 7. Continuidad y disponibilidad del servicio de negocio
3 3 0 3 3 41
Cliente 10. Optimización de costes de entrega del servicio
3 0 0 5 3 37
Interna 12. Optimización de los costes de los procesos de negocio
3 5 0 3 0 37 Aprendizaje y crecimiento
17. Cultura de innovación de producto y negocio
0 3 3 3 0 31 Cliente 6. Cultura de servicio orientada al cliente 3 3 0 3 0 31
Tabla 19: Objetivos de negocio que más aportan a los objetivos de gobierno. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
57
Nota: Estos objetivos son priorizados conjuntamente con los Accionistas de la
empresa.
Para la selección de las Metas de gobierno se toma el porcentaje mayor a 50, se
aplica una regla de tres simple de la siguiente manera:
Objetivos empresa =5
Objetivos de Cobit = 17
Sumatoria de objetivos de Cobit vs objetivos de empresa
Porcentaje = (Sumatoria x Objetivos de Cobit) / Objetivos empresa.
Financiera 1.Valor para las partes interesadas de las Inversiones de Negocio 78
Financiera 2. Cartera de productos y servicios competitivos 65
Financiera 5. Transparencia financiera 65
Cliente 8. Respuestas ágiles a un entorno de negocio cambiante 61
Cliente 9. Toma estratégica de Decisiones basada en Información 65
Interna 14. Productividad operacional y de los empleados 71
Aprendizaje y crecimiento 16. Personas preparadas y motivadas 65
Tabla 20: Metas de Gobierno priorizadas. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
3.3.2.2. Metas de TI como está actualmente la Matriz de Saitel
Para seleccionar las metas de TI se necesita realizar un estudio de las metas
corporativas obtenidas en el tema anterior. Para encontrar estas metas se utiliza el
mismo método de calificación descrita en el punto anterior.
Primaria = 5
Secundaria = 3
Meta considerada > 40
Meta no considerada < = 40
59
CMI METAS DE TI
1.V
alo
r p
ara
las
par
tes
inte
resa
das
de
las
Inve
rsio
ne
s d
e N
ego
cio
2. C
arte
ra d
e p
rod
uct
os
y se
rvic
ios
com
pe
titi
vos
5. T
ran
spar
en
cia
fin
anci
era
8. R
esp
ue
stas
ági
les
a u
n e
nto
rno
de
ne
goci
o c
amb
ian
te
9. T
om
a e
stra
tégi
ca d
e D
eci
sio
ne
s
bas
ada
en
Info
rmac
ión
14
. Pro
du
ctiv
idad
op
era
cio
nal
y d
e lo
s
em
ple
ado
s
16
. Pe
rso
nas
pre
par
adas
y m
oti
vad
as
Financiera
1
Alineamiento de TI y estrategia de negocio 5 5 5 5 3 56
Cliente 7
Entrega de servicios de TI de acuerdo a los requisitos del negocio 5 5 5 3 3 51
Interna 9
Agilidad de las TI 3 5 5 3 3 46
Aprendizaje y Crecimiento 16
Personal del negocio y de las TI competente y motivado 3 3 3 5 5 46
Aprendizaje y Crecimiento 17
Conocimiento, experiencia e iniciativas para la innovación de negocio 3 5 5 3 3 46
Financiera 3
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas con TI
5 3 3 3 3 41
Cliente 8
Uso adecuado de aplicaciones, información y soluciones tecnológicas 3 3 3 5 3 41
Financiera 5
Realización de beneficios del portafolio de Inversiones y Servicios relacionados con las TI
5 5 3 3 39
Interna 11
Optimización de activos, recursos y capacidades de las TI 5 3 3 3 34
Interna 12
Capacitación y soporte de procesos de negocio integrando aplicaciones y tecnología en procesos de negocio
3 5 3 3 34
60
Financiera 6
Transparencia de los costes, beneficios y riesgos de las TI 3 5 3 27
Interna 14
Disponibilidad de información útil y fiable para la toma de decisiones 3 3 5 27
Interna 13
Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad.
5 3 19
Financiera 4
Riesgos de negocio relacionados con las TI gestionados 3 3 15
Financiera 2
Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas
0
Interna 10
Seguridad de la información, infraestructura de procesamiento y aplicaciones
0
Interna 15
Cumplimiento de las políticas internas por parte de las TI 0
Tabla 21: Mapeo de las metas de TI. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
Nota: Las metas de TI son priorizadas de acuerdo al modelo establecido por Cobit 5.
61
Una vez ya mapeado las metas de TI quedarían las siguientes:
1 Alineamiento de TI y estrategia de negocio
56
7
Entrega de servicios de TI de acuerdo a los
requisitos del negocio 51
9 Agilidad de las TI
46
16
Personal del negocio y de las TI competente y
motivado 46
17
Conocimiento, experiencia e iniciativas para la
innovación de negocio 46
3
Compromiso de la dirección ejecutiva para tomar
decisiones relacionadas con TI 41
8
Uso adecuado de aplicaciones, información y
soluciones tecnológicas 41
Tabla 22. Priorización de metas de TI. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
3.3.3. Hacia donde queremos llegar con el modelo que plantea Cobit
Cobit define que el negocio está representado por las partes interesadas como los
socios o accionistas, por lo tanto es importante conocer cuál de las siguientes
cuestiones van de acuerdo al giro de la empresa y se realiza un análisis para
establecer y priorizar metas corporativas específicas o relacionadas con TI.
Se analizan las cuestiones en base a la siguiente ponderación de estabilidad:
Altamente relacionado = 5,
Medianamente relacionado = 3
No es relacionado o no aplica = 0.
62
1.V
alo
r p
ara
las
par
tes
inte
resa
das
de
las
Inve
rsio
ne
s d
e N
ego
cio
2. C
arte
ra d
e p
rod
uct
os
y se
rvic
ios
com
pe
titi
vos
3. R
iesg
os
de
ne
goci
o g
est
ion
ad
os
(sal
vagu
ard
a d
e a
ctiv
os)
4. C
um
plim
ien
to d
e le
yes
y re
gula
cio
ne
s
ext
ern
as
5. T
ran
spar
en
cia
fin
anci
era
6. C
ult
ura
de
se
rvic
io o
rie
nta
da
al c
lien
te
7. C
on
tin
uid
ad y
dis
po
nib
ilid
ad d
el s
erv
icio
de
ne
goci
o
8. R
esp
ue
stas
ági
les
a u
n e
nto
rno
de
ne
goci
o
cam
bia
nte
9. T
om
a e
stra
tégi
ca d
e D
eci
sio
ne
s b
asad
a e
n
Info
rmac
ión
10
. Op
tim
izac
ión
de
co
ste
s d
e e
ntr
ega
de
l
serv
icio
11
. Op
tim
izac
ión
de
la f
un
cio
nal
idad
de
los
pro
ceso
s d
e n
ego
cio
12
. Op
tim
izac
ión
de
los
cost
es
de
los
pro
ceso
s d
e n
ego
cio
13
. Pro
gram
as g
est
ion
ado
s d
e c
am
bio
en
el
ne
goci
o
14
. Pro
du
ctiv
ida
d o
pe
raci
on
al y
de
los
em
ple
ado
s
15
. Cu
mp
limie
nto
co
n la
s p
olít
icas
inte
rnas
16
. Pe
rso
nas
pre
par
adas
y m
oti
vad
as
17
. Cu
ltu
ra d
e in
no
vaci
ón
de
pro
du
cto
y
ne
goci
o
1 ¿Cómo se consigue valor mediante el uso de
TI? ¿Está el usuario final satisfecho con la
calidad del servicio de TI? 5 3 3 5 5 3 3
2 ¿Cómo se gestiona el rendimiento de TI? 5 5 3 5 3
3 ¿Cómo se puede explotar mejor la tecnología
de red para conseguir nuevas oportunidades
estratégicas?
5 3 5 3 3 3 3 5 3 5
4 ¿Cómo puedo construir y estructurar mejor
mi departamento de TI? 3 3 3 5 3 3 5 3
5
¿Cuánto dependo de mis proveedores
externos? ¿Cómo de bien están siendo
gestionados los acuerdos de externalización
de TI? ¿Cómo puedo verificarlos sobre
proveedores externos?
3 5 5 3 3
6 ¿Cuáles son los requisitos (de control) para la
información? 3 5 3 3 3
7 ¿He contemplado todos los riesgos
relacionados con TI? 5 3 5 3 3
63
8 ¿Estoy ejecutando una operación de TI
eficiente y robusta? 3 3 5 3 3
9
¿Cómo se controla el coste de TI? ¿Cómo se
usan los recursos de TI en la manera más
efectiva y eficiente? ¿Cuáles son las opciones
de aprovisionamiento más efectivas y
eficientes?
3 5 5 3
10
¿Tengo suficiente personal para TI? ¿Cómo
puedo desarrollar y mantener sus habilidades
y cómo gestiono su rendimiento?
3 3 3
11
¿Cómo consigo confianza sobre TI? 3 5 3 3 3 5
12
¿Está bien securizada la información que se
está procesando? 5 3 3 3 3
13
¿Cómo se puede mejorar la capacidad de
respuesta del negocio mediante un entorno de
IT más flexible?
5 3 3 3 3
14
¿Fracasan los proyectos de TI En
proporcionar lo que habían prometido? Si es
así, ¿por qué permanece la TI en el camino
de ejecutar la estrategia de negocio
3 3 5 3 3 3
15
¿Cómo es de crítica la TI para para la
sostenibilidad de la empresa? ¿Qué pasaría si
la TI no estuviera disponible?
5 5 3 3 3
16
¿Qué procesos de negocio críticos dependen
de TI y cuáles son los requerimientos de los
procesos de negocio?
5 5 3 3 3 3
17
¿En cuánto han excedido de media los
presupuestos de operación de TI? ¿Con qué
frecuencia y cuánto se salen del presupuesto
los proyectos de TI?
3 3 3 3 3
64
18
¿Qué parte del esfuerzo de TI se dedica a
apagar fuegos en lugar de facilitar las
mejoras del negocio?
3 3 3 3 3
19
¿Son suficientes los recursos y la
infraestructura de TI disponibles para
conseguir los objetivos estratégicos de
empresa requeridos?
3 3 3 3 3 3 3
20
¿Cuánto se tarda en la toma de decisiones
importantes de TI? 3 3 3 3 3 3
21
¿Son transparentes el esfuerzo y las
inversiones totales en TI? 5 3 5 5 3 3
22
¿Respalda TI a la empresa en el
cumplimiento de la normativa y los niveles
de servicio? ¿Cómo puedo saber si se cumple
con todas las normas aplicables?
3 3 3
45 25 17 28 24 22 20 35 17 32 21 24 14 33 9 47 17
Tabla 23: Metas corporativas Cobit 5 vs. Preguntas de Gobierno y Gestión. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
65
Como resultado de ejecutar la tabla de metas vs las preguntas de gobierno y de
gestión se aplican los siguientes parámetros:
Meta considerada >= mediana
Meta no considerada < mediana
Las metas de mayor relevancia en donde la empresa tiene mayores inconvenientes
son las siguientes:
CMI METAS PUNTAJE
Aprendizaje
y crecimiento 16. Personas preparadas y motivadas 47
Financiera 1.Valor para las partes interesadas de las Inversiones de
Negocio 45
Cliente 8. Respuestas ágiles a un entorno de negocio cambiante 35
Interna 14. Productividad operacional y de los empleados 33
Cliente 10. Optimización de costes de entrega del servicio 32
Financiera 4. Cumplimiento de leyes y regulaciones externas 28
Financiera 2. Cartera de productos y servicios competitivos 25
Financiera 5. Transparencia financiera 24
Interna 12. Optimización de los costes de los procesos de negocio 24
Tabla 24: Metas de Gobierno ya priorizadas. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
3.3.4. Priorización de Metas de TI vs Metas corporativas.
Primaria = 5
Secundaria = 3
Meta considerada >= Mediana
Meta no considerada < = Mediana
66
1.V
alo
r p
ara
la
s p
art
es
in
tere
sa
das
de
la
s In
ve
rsio
ne
s d
e N
eg
oc
io
2.
Cart
era
de
pro
du
cto
s y
serv
icio
s c
om
pe
titi
vo
s
4.
Cu
mp
lim
ien
to d
e le
yes
y r
eg
ula
cio
ne
s e
xte
rna
s
5.
Tra
nsp
are
ncia
fin
an
cie
ra
8.
Res
pu
es
tas
ág
ile
s a
un
en
torn
o d
e n
eg
oc
io c
am
bia
nte
10
. O
pti
miz
ació
n d
e c
os
tes
de
en
tre
ga
de
l s
erv
icio
12
. O
pti
miz
ació
n d
e l
os c
os
tes
de
lo
s p
roc
es
os
de
ne
go
cio
14
. P
rod
uc
tiv
ida
d o
pe
rac
ion
al
y d
e l
os
em
ple
ad
os
16
. P
ers
on
as
pre
pa
rad
as
y m
oti
va
da
s
Financiera 1
Alineamiento de TI y
estrategia de negocio 5 5 5 3 3 21
Financiera
2
Cumplimiento y soporte de
la TI al cumplimiento del
negocio de las leyes y
regulaciones externas 5 5
Financiera
3
Compromiso de la
dirección ejecutiva para
tomar decisiones
relacionadas con TI 5 3 3 3 14
Financiera
4
Riesgos de negocio
relacionados con las TI
gestionados 3 3 3 5 3 17
Financiera
5
Realización de beneficios
del portafolio de
Inversiones y Servicios
relacionados con las TI 5 5 3 5 18
Cliente 6
Transparencia de los
costes, beneficios y 3 5 8
67
riesgos de las TI
Cliente
7
Entrega de servicios de TI
de acuerdo a los requisitos
del negocio 5 5 3 5 5 3 3 3 32
Interna
8
Uso adecuado de
aplicaciones, información y
soluciones tecnológicas 3 3 5 3 3 17
Interna 9 Agilidad de las TI 3 5 5 5 3 21
Interna
10
Seguridad de la
información,
infraestructura de
procesamiento y
aplicaciones 5 3 8
Interna
11
Optimización de activos,
recursos y capacidades de
las TI 5 3 3 5 3 19
Interna
12
Capacitación y soporte de
procesos de negocio
integrando aplicaciones y
tecnología en procesos de
negocio 3 5 3 3 14
Interna
13
Entrega de Programas que
proporcionen beneficios a
tiempo, dentro del
presupuesto y
satisfaciendo los requisitos
y normas de calidad. 5 3 3 3 3 17
Interna
14
Disponibilidad de
información útil y fiable
para la toma de decisiones 3 3 3 3 3 15
Aprendizaje
y
Crecimiento 15
Cumplimiento de las
políticas internas por parte
de las TI 3 5 8
Aprendizaje
y 16
Personal del negocio y de
las TI competente y 3 3 3 5 3 5 22
68
Crecimiento motivado
Aprendizaje
y
Crecimiento 17
Conocimiento, experiencia
e iniciativas para la
innovación de negocio 3 5 5 3 16
Tabla 25: Metas de Ti vs Metas de Gobierno. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
Estas serían las metas de TI de acuerdo a la condición descrita anteriormente:
CMI Metas de TI Puntaje
Cliente Entrega de servicios de TI de acuerdo a los requisitos del negocio 32
Aprendizaje y
Crecimiento Personal del negocio y de las TI competente y motivado 22
Financiera Alineamiento de TI y estrategia de negocio 21
Interna Agilidad de las TI 21
Interna Optimización de activos, recursos y capacidades de las TI 19
Financiera Realización de beneficios del portafolio de Inversiones y Servicios
relacionados con las TI 18
Financiera Riesgos de negocio relacionados con las TI gestionados 17
Interna Uso adecuado de aplicaciones, información y soluciones tecnológicas 17
Interna Entrega de Programas que proporcionen beneficios a tiempo, dentro del
presupuesto y satisfaciendo los requisitos y normas de calidad. 17
Aprendizaje y
Crecimiento Conocimiento, experiencia e iniciativas para la innovación de negocio 16
Tabla 26: Metas de TI según Cobit ya priorizadas. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
69
3.3.5. Aplicación del modelo de procesos de TI
3.3.5.1. Mapear y priorizar Procesos de TI
De los 37 procesos descritos en el Capítulo I se realiza el análisis de los procesos
que se requerirá utilizar. Para el análisis siguiente se utilizaran las doce metas de TI
priorizadas versus los 37 procesos habilitantes.
La escala de medición es de:
Primaria = 5
Secundaria = 3
Proceso considerado >= mediana
Proceso no considerado < mediana
70
01
Alin
eam
ien
to d
e T
I y e
str
ate
gia
de
ne
gocio
04
Rie
sg
os d
e n
ego
cio
rela
cio
na
dos c
on
la
s T
I g
estio
nad
os
05
Re
aliz
ació
n d
e b
en
eficio
s d
el p
ort
afo
lio d
e In
ve
rsio
nes y
Se
rvic
ios
rela
cio
na
dos c
on
la
s T
I
07
En
treg
a d
e s
erv
icio
s d
e T
I d
e a
cu
erd
o a
lo
s r
eq
uis
itos d
el n
eg
ocio
08
Uso a
decu
ad
o d
e a
plic
acio
ne
s, in
form
ació
n y
solu
cio
ne
s te
cno
lógic
as
09
Ag
ilida
d d
e las T
I
11
Op
tim
iza
ció
n d
e a
ctivos,
recu
rso
s y
ca
pacid
ad
es d
e las T
I
13
En
treg
a d
e P
rogra
ma
s q
ue p
rop
orc
ion
en
be
ne
ficio
s a
tie
mp
o, d
en
tro
del
pre
sup
uesto
y s
atisfa
cie
nd
o los r
equ
isitos y
no
rma
s d
e c
alid
ad
.
16
Pe
rso
nal d
el n
eg
ocio
y d
e la
s T
I com
pe
ten
te y
mo
tivad
o
17
Con
ocim
ien
to, e
xp
eri
en
cia
e in
icia
tiva
s p
ara
la
in
novació
n d
e n
eg
ocio
EVALUAR, ORIENTAR Y SUPERVISAR (EDM) EDM01
Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno. 5 3 3 5 3 3 3 3 3 31
EVALUAR, ORIENTAR Y SUPERVISAR (EDM) EDM02
Asegurar la entrega de beneficios. 5 5 5 3 3 3 3 5 32
EVALUAR, ORIENTAR Y SUPERVISAR (EDM) EDM03
Asegurar la optimización del riesgo. 3 5 3 5 5 3 3 3 30
EVALUAR, ORIENTAR Y SUPERVISAR (EDM) EDM04
Asegurar la optimización de recursos. 3 3 3 3 5 5 3 25
EVALUAR, ORIENTAR Y SUPERVISAR (EDM) EDM05
Asegurar la transparencia hacia las partes interesadas. 3 3 5 5 3 3 3 3 28
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO1
Gestionar el marco de gestión de TI. 5 3 3 5 5 3 3 5 32
ALINEAR, PLANIFICAR Y ORGANIZAR APO2 Gestionar la estrategia. 5 3 3 5 3 3 3 5 30
71
(APO)
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO3
Gestionar la arquitectura empresarial. 5 3 3 3 3 5 5 3 30
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO4 Gestionar la innovación. 3 3 3 3 3 5 5 25
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO5 Gestionar el portafolio. 5 3 5 3 3 3 22
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO6
Gestionar el presupuesto y los costes. 3 3 5 3 3 3 3 23
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO7
Gestionar los recursos humanos. 5 3 3 5 3 5 24
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO8 Gestionar las relaciones. 5 3 3 5 3 3 3 25
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO9
Gestionar los acuerdos de servicio. 3 3 5 5 3 3 3 25
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO10
Gestionar los proveedores. 5 3 5 5 3 3 24
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO11 Gestionar la calidad. 3 3 3 3 5 3 3 5 3 31
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO12 Gestionar el riesgo. 3 5 3 5 3 5 3 3 30
ALINEAR, PLANIFICAR Y ORGANIZAR (APO) APO13 Gestionar la seguridad. 5 3 3 11
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI01
Gestionar programas y proyectos. 5 3 3 3 3 5 3 25
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI02
Gestionar la definición de requisitos. 5 3 3 5 3 3 3 3 3 31
72
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI03
Gestionar la identificación y construcción de soluciones. 3 3 5 3 3 3 3 23
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI04
Gestionar la disponibilidad y la capacidad. 3 3 5 5 3 5 3 3 30
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI05
Gestionar la introducción del cambio organizativo. 3 3 3 5 3 3 3 3 26
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI06 Gestionar los cambios. 5 3 5 3 3 3 3 25
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI07
Gestionar la aceptación del cambio y la transición. 3 3 3 5 3 3 3 23
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI08
Gestionar el conocimiento. 3 3 3 5 5 3 3 5 30
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI09 Gestionar los activos. 5 3 3 5 3 5 3 3 30
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) BAI10
Gestionar la configuración. 3 3 3 5 14
ENTREGA, SERVICIO Y SOPORTE (DSS) DSS01 Gestionar operaciones. 5 3 5 3 3 5 3 3 30
ENTREGA, SERVICIO Y SOPORTE (DSS) DSS02
Gestionar peticiones e incidentes de servicio. 5 5 5 5 3 5 28
ENTREGA, SERVICIO Y SOPORTE (DSS) DSS03 Gestionar problemas. 5 3 5 3 5 5 3 29
ENTREGA, SERVICIO Y SOPORTE (DSS) DSS04 Gestionar la continuidad. 3 5 3 5 3 3 3 3 3 31
ENTREGA, SERVICIO Y SOPORTE (DSS) DSS05
Gestionar servicios de seguridad. 3 5 3 3 3 17
73
ENTREGA, SERVICIO Y SOPORTE (DSS) DSS06
Gestionar controles de procesos de negocio. 5 5 3 3 3 3 22
SUPERVISAR, EVALUAR Y VALORAR (MEA) MEA01
Supervisar, evaluar y valorar el rendimiento y la conformidad. 3 5 3 3 5 3 3 3 3 31
SUPERVISAR, EVALUAR Y VALORAR (MEA) MEA02
Supervisar, evaluar y valorar el sistema de control interno. 5 3 3 3 14
SUPERVISAR, EVALUAR Y VALORAR (MEA) MEA03
Supervisar, evaluar y valorar la conformidad con los requerimientos externos. 5 3 3 3 14
Tabla 27: Mapeo procesos de TI vs. Metas de TI. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
Una vez realizado el mapeo de los procesos de TI vs metas de TI, se encuentran 18
procesos que ayudarían a un mejor desempeñó en el tipo de giro de la empresa que
lo es la Matriz de Saitel los procesos seleccionados son:
74
PROCESOS PUNTAJE
ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO1 Gestionar el marco de gestión de TI. 32
EVALUAR, ORIENTAR Y SUPERVISAR (EDM)
EDM02 Asegurar la entrega de beneficios. 32
ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO11 Gestionar la calidad. 31
SUPERVISAR, EVALUAR Y VALORAR (MEA)
MEA01 Supervisar, evaluar y valorar el rendimiento y la conformidad.
31
EVALUAR, ORIENTAR Y SUPERVISAR (EDM)
EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno.
31
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)
BAI02 Gestionar la definición de requisitos. 31
ENTREGA, SERVICIO Y SOPORTE (DSS)
DSS04 Gestionar la continuidad. 31
ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO2 Gestionar la estrategia. 30
ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO3 Gestionar la arquitectura empresarial. 30
ENTREGA, SERVICIO Y SOPORTE (DSS)
DSS01 Gestionar operaciones. 30
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)
BAI09 Gestionar los activos. 30
EVALUAR, ORIENTAR Y SUPERVISAR (EDM)
EDM03 Asegurar la optimización del riesgo. 30
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)
BAI04 Gestionar la disponibilidad y la capacidad. 30
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)
BAI08 Gestionar el conocimiento. 30
ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO12 Gestionar el riesgo. 30
ENTREGA, SERVICIO Y SOPORTE (DSS)
DSS03 Gestionar problemas. 29
ENTREGA, SERVICIO Y SOPORTE (DSS)
DSS02 Gestionar peticiones e incidentes de servicio. 28
EVALUAR, ORIENTAR Y SUPERVISAR (EDM)
EDM05 Asegurar la transparencia hacia las partes interesadas.
28
Tabla 28: Procesos de TI mapeados. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
3.3.6. Procesos propuestos para la Matriz de Saitel.
En base a los pasos propuestos por el marco de referencia se presenta a
continuación el mapa del modelo de procesos de TI, señalados con una línea roja
que suman 18 en total.
75
Figura 29. Mapa de procesos planteados.
Elaboración Tglo. Heraldo Narváez.
3.3.7. Gobierno de TI
Los procesos planteados son EDM01, EDM02, EDM03, Y EDM05. Que están
contemplados dentro de (Evaluar, Orientar y Supervisar (EDM)).
EVALUAR, ORIENTAR Y SUPERVISAR (EDM)
EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno.
EDM02 Asegurar la entrega de beneficios.
EDM03 Asegurar la optimización del riesgo.
EDM05 Asegurar la transparencia hacia las partes interesadas.
Tabla 30: Procesos de Gobierno de TI. Elaboración Tglo. Heraldo Narváez.
3.3.8. Gestión de TI
Los procesos de gestión de TI que se obtiene del análisis del modelo de procesos del
marco de referencia de COBIT son:
76
ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO1 Gestionar el marco de gestión de TI.
APO2 Gestionar la estrategia.
APO3 Gestionar la arquitectura empresarial.
APO11 Administrar la Calidad
APO12 Administrar los Riesgos
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI )
BAI02 Gestionar la definición de requisitos.
BAI04 Gestionar la disponibilidad y la capacidad.
BAI08 Gestionar el conocimiento.
BAI09 Gestionar los activos.
ENTREGA, SERVICIO Y SOPORTE (DSS)
DSS01 Gestionar operaciones.
DSS02 Gestionar peticiones e incidentes de servicio.
DSS03 Administrar Problemas
DSS04 Gestionar la continuidad.
SUPERVISAR, EVALUAR Y VALORAR (MEA)
MEA01 Supervisar, evaluar y valorar el rendimiento y la conformidad.
Tabla 31: Procesos planteados Gestión de TI. Elaboración Tglo. Heraldo Narváez.
A continuación se realiza una descripción general de los procesos que a dónde
queremos llegar con la utilización del modelo de gobierno para el para la empresa
matriz de Saitel, que forman parte del modelo de procesos para el gobierno de TI,
junto con las métricas recomendadas por Cobit y que más se acercan a la realidad
de la empresa.
Como la empresa no tiene procesos definidos y se trabaja de manera empírica, no
es conveniente aun de la elaboración de la madurez de los procesos para su análisis.
Se utilizara para el análisis la matriz de asignación de responsabilidades RACI que
consiste en lo siguiente:
77
Rol Descripción
R Responsible Responsable
Este rol corresponde a quien efectivamente realiza la tarea. Lo
más habitual es que exista sólo un encargado (R) por cada tarea;
si existe más de uno, entonces el trabajo debería ser subdividido a
un nivel más bajo, usando para ello las matrices RASCI.
A Accountable Quien rinde
cuentas
Este rol se responsabiliza de que la tarea se realice y es el que
debe rendir cuentas sobre su ejecución. Sólo puede existir una
persona que deba rendir cuentas (A) de que la tarea sea ejecutada
por su responsable (R).
C Consulted Consultado Este rol posee alguna información o capacidad necesaria para
realizar la tarea.
I Informed Informado
Este rol debe ser informado sobre el avance y los resultados de la
ejecución de la tarea. A diferencia del consultado (C), la
comunicación es unidireccional.
Tabla 32: Matriz RACI. Fuente. Wikipedia. Elaboración Tglo. Heraldo Narváez.
3.3.9. Descripción de procesos de TI
3.3.9.1. EDM01 Asegurar el establecimiento y mantenimiento del marco de
referencia de gobierno
EDM01 Asegurar el establecimiento y mantenimiento del
marco de referencia de gobierno
Área: Gobierno
Dominio: Evaluar, Orientar y
Supervisar
Descripción del Proceso
Analiza y articula los requerimientos para el gobierno de TI de la empresa y pone en marcha y
mantiene efectivas las estructuras, procesos y prácticas facilitadores, con claridad de las
responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa.
78
Declaración del Propósito del Proceso
Proporcionar un enfoque consistente, integrado y alineado con el alcance del gobierno de la empresa.
Para garantizar que las decisiones relativas a TI se han adoptado en línea con las estrategias y
objetivos de la empresa, garantizando la supervisión de los procesos de manera electiva y
transparentemente, el cumplimiento con los requer1mlentos regulator1os y legales y que se han
alcanzado los requer1mlentos de gobierno de los miembros del Consejo de Administración.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
01 Alineamiento de TI y estrategia de
negocio
Porcentaje de metas estratégicas y requerimientos
corporativos apoyados por metas TI estratégicas
Nivel de satisfacción de los Interesados con el alcance del
portfolio de programas y servicios planificado
Porcentaje de factores de valor TI mapeados a factores de
valor del negocio
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a Incidentes
de servicios TI
Porcentaje de partes Interesadas en el negocio satisfechas
de que la entrega de servicios TI cumpla los niveles de
servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
79
MATRIZ RACI EDMO01
Practicas claves de gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
norm
ativo
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
EDM01.01 Evaluar el sistema de gobierno A R C R R
C
C C C C C EDM02.02 Orientar el sistema de gobierno A R C R R I C I I I I C I I
EDM03.03 Supervisar el sistema de gobierno A R C R R I C I I I I C I I
Tabla 33: EDMO01 Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
3.3.9.2. EDMO02 Asegurar la Entrega de Beneficios
EDM02 Asegurar la Entrega de Beneficios Área: Gobierno
Dominio: Evaluar, Orientar y Supervisar
Descripción del Proceso
Optimizar la contribución al valor del negocio desde los procesos de negocio, de los servicios TI y
activos de TI resultado de la inversión hecha por TI a unos costes aceptables.
Declaración del Propósito del Proceso
Asegurar un valor óptimo de las iniciativas de TI, servicios y activos disponibles; una entrega coste
eficiente de los servicios y soluciones y una visión confiable y precisa de los costes y de los
beneficios probables de manera que las necesidades del negocio sean soportadas efectiva y
eficientemente.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
80
01 Alineamiento de TI y estrategia de
negocio
Porcentaje de metas estratégicas y requerimientos
corporativos apoyados por metas TI estratégicas
Nivel de satisfacción de los Interesados con el alcance del
portfolio de programas y servicios planificado
Porcentaje de factores de valor TI mapeados a factores de
valor del negocio
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a Incidentes
de servicios TI
Porcentaje de partes Interesadas en el negocio satisfechas
de que la entrega de servicios TI cumpla los niveles de
servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
17 Conocimiento, experiencia e
iniciativas para la innovación de
negocio
Nivel de concienciación y comprensión de la alta dirección
del negocio sobre las posibilidades de TI
Nivel de satisfacción de los Interesados con los niveles de
experiencia e Ideas de Innovación de TI
Número de iniciativas aprobadas resultantes de Ideas TI
Innovadoras
81
MATRIZ RACI EDMO02
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
EDM02.01 Evaluar la optimización del valor A R R R R
C
C C C C R C
EDM02.02 Orientar la optimización del valor A R R R R I I I I I I I R I I
EDM02.03 Supervisar la optimización del valor A R R R R
C C C C C C R C
Tabla 34. EDMO02. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
3.3.9.3. EDMO03 Asegurar la Optimización del Riesgo
EDMO3 Asegurar la
Optimización del Riesgo
Área: Gobierno
Dominio: Evaluar, Orientar y Supervisar
Descripción del Proceso
Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y
comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es
identificado y gestionado.
Declaración del Propósito del Proceso
Asegurar que los riesgos relacionados con TI de la empresa no exceden ni el apetito ni la toleración
de riesgo, que el impacto de los riesgos de TI en el valor de la empresa se identifica y se gestiona y
que el potencial fallo en el cumplimiento se reduce al mínimo.
El proceso apoya la consecución de un conjunto de principales metas TI:
82
Metas TI Métricas Relacionadas
04 Riesgos de negocio
relacionados con las TI
gestionados
Porcentaje de procesos TI de negocio críticos, servicios TI y
programas de negocio habilitados por TI cubiertos por
evaluaciones de riesgo
Número de Incidentes TI significativos que no fueron
Identificados en evaluaciones de riesgos
Porcentaje de evaluaciones de riesgo corporativas que
Incluyen riesgo TI
Frecuencia de actualización del perfil de riesgo
MATRIZ RACI EDMO03
Practicas claves de gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
cis
o)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
norm
ativo
Directo
r d
e Info
rmática/S
iste
ma
s (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
EDM03.01 Evaluar la gestión riesgos A R C R R
R C
I C C R EDM03.02 Orientar la gestión riesgos A R C R R I R I I I C C R I I
EDM03.03 Supervisar la gestión riesgos A R C R R I R R I I C C R I I
Tabla 35.EDMO03. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
83
3.3.9.4. EDMO05 Asegurar la Transparencia hacia las Partes Interesadas
EDM05 Asegurar la Transparencia hacia las
Partes Interesadas
Área: Gobierno
Dominio: Evaluar, Orientar y Supervisar
Descripción del Proceso
Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de TI
de la empresa son transparentes, con aprobación por parte de las partes interesadas de las metas,
las métricas y las acciones correctivas necesarias.
Declaración del Propósito del Proceso
Asegurar que la comunicación con las partes Interesadas sea efectiva y oportuna y que se ha
establecido una base para la elaboración de informes con el fin de aumentar el desempeño, identificar
áreas susceptibles de mejora y confirmar que las estrategias y los objetivos relacionados con TI
concuerdan con la estrategia corporativa.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
04 Riesgos de negocio relacionados
con las TI gestionados
Porcentaje de procesos TI de negocio críticos,
servicios TI y programas de negocio habilitados por TI
cubiertos por evaluaciones de riesgo
Número de Incidentes TI significativos que no fueron
Identificados en evaluaciones de riesgos
Porcentaje de evaluaciones de riesgo corporativas que
Incluyen riesgo TI
Frecuencia de actualización del perfil de riesgo
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a
Incidentes de servicios TI
Porcentaje de partes Interesadas en el negocio
satisfechas de que la entrega de servicios TI cumpla
los niveles de servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
84
MATRIZ RACI EDMO05
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
EDM03.01 Evaluar los requisitos de elaboración de informes de las partes interesadas A R C C
R
I
EDM03.02 Orientar la comunicación de las partes interesadas y elaboración de informes A R C C
R
I
EDM03.03 Supervisar la comunicación con las partes interesadas A R C C
R
I
Tabla 36. EDMO05. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
3.3.9.5. AP001 Gestionar el Marco de Gestión de TI
AP001 Gestionar el Marco de Gestión de TI Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del Proceso
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener
mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar
los objetivos de gobierno en consonancia con las políticas y los principios rectores.
Declaración del Propósito del Proceso
Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno
corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades organizativos,
85
actividades fiables y reproducibles y habilidades y competencias.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
01 Alineamiento de TI y estrategia
de negocio
Porcentaje de metas estratégicas y requerimientos
corporativos apoyados por metas TI estratégicas
Nivel de satisfacción de los Interesados con el alcance
del portfolio de programas y servicios planificado
Porcentaje de factores de valor TI mapeados a
factores de valor del negocio
09 Agilidad de las TI
Nivel de satisfacción de la alta dirección del negocio
con la capacidad de respuesta de TI a nuevos
requerimientos
Número de procesos de negocio críticos soportados
por Infraestructura y aplicaciones actualizadas
Tiempo medio de conversión de objetivos TI
estratégicos en una Iniciativa acordada y aprobada
16 Personal del negocio y de las TI
competente y motivado
Porcentaje de personal cuyas habilidades TI son
suficientes para la competencia requerida por sus
roles
Porcentaje de personal satisfecho con sus roles en TI
Número de horas de aprendizaje/ formación por
miembro del personal
17 Conocimiento, experiencia e
iniciativas para la innovación de
negocio
Nivel de concienciación y comprensión de la alta
dirección del negocio sobre las posibilidades de TI
Nivel de satisfacción de los Interesados con los
niveles de experiencia e Ideas de Innovación de TI
Número de iniciativas aprobadas resultantes de Ideas
TI Innovadoras
86
MATRIZ RACI APO01
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
APO01.01 Definir la estructura organizativa
C C C I R I A C R
APO01.02 Establecer roles y responsabilidades
I C C A C R
APO01.03 Mantener los elementos catalizadores del sistema de gestión
C A C C I C C C C C R R
APO01.04 Comunicar los objetivos y la dirección de gestión
A R R R I R R I I I I R I I
APO01.05 Optimizar la ubicación de la función de TI
C C C A C C R C R
APO01.06 Definir la propiedad de la información (datos) y del sistema
I I A C C C
APO01.07 Gestionar la mejora continua de los procesos
C I C R R R
APO01.08 Mantener el cumplimiento con las políticas y procedimientos
A R R C R R R
Tabla 37: APO01. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
87
3.3.9.6. AP002 Gestionar la Estrategia
AP002 Gestionar la Estrategia Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del Proceso
Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección Futura, y las
Iniciativas necesarias para migrar at entorno deseado. Aprovechar los bloques y componentes de la
estructura empresarial, Incluyendo los servicios externalizados y las capacidades relacionadas que
permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos.
Declaración del Propósito del Proceso
Alinear los planes estratégicos de TI con los objetivos del negocio. Comunicar claramente los
objetivos y las cuentas asociadas para que sean comprendidos por todos, con la identificación de las
opciones estratégicas de TI, estructurados e integrados con los planes de negocio.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
01 Alineamiento de TI y estrategia de
negocio
Porcentaje de metas estratégicas y requerimientos
corporativos apoyados por metas TI estratégicas
Nivel de satisfacción de los Interesados con el alcance del
portfolio de programas y servicios planificado
Porcentaje de factores de valor TI mapeados a factores de
valor del negocio
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a Incidentes
de servicios TI
Porcentaje de partes Interesadas en el negocio satisfechas
de que la entrega de servicios TI cumpla los niveles de
servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
17 Conocimiento, experiencia e
iniciativas para la innovación de
negocio
Nivel de concienciación y comprensión de la alta dirección
del negocio sobre las posibilidades de TI
Nivel de satisfacción de los Interesados con los niveles de
experiencia e Ideas de Innovación de TI
Número de iniciativas aprobadas resultantes de Ideas TI
Innovadoras
88
MATRIZ RACI APO02
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
APO02.01 Comprender la dirección de la empresa
C C A C C C C R R
APO02.02 Evaluar el entorno, capacidades y rendimiento actuales
C C R C C C A R C
APO02.03 Definir el objetivo de las capacidades de TI
A C C R C C C R C C
APO02.04 Realizar un análisis de diferencias
R C C C R A R R
APO02.05 Definir el plan estratégico y la hoja de ruta
C I C C C C C A C C
APO02.06 Comunicar la estrategia y la dirección de TI
I R I R A I I I I I I I R I I
Tabla 38: APO02. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
89
3.3.9.7. AP003 Gestionar la Arquitectura Empresarial
AP003 Gestionar la Arquitectura
Empresarial
Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del Proceso
Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos,
las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la
realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y
prácticas que describan las líneas de partida y las arquitecturas objetivo. Definir los requisitos para la
taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas y
proporcionar un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad,
mejorar la calidad de la Información y generar ahorros de costes potenciales mediante Iniciativas
tales como la reutilización de bloques de componentes para los procesos de construcción.
Declaración del Propósito del Proceso
Representar a los diferentes módulos que componen la empresa y sus interrelaciones, así como los
principios rectores de su diseño y evolución en el tiempo, permitiendo una entrega estándar, sensible
y eficiente de los objetivos operativos y estratégicos.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
01 Alineamiento de TI y estrategia de
negocio
Porcentaje de metas estratégicas y requerimientos
corporativos apoyados por metas TI estratégicas
Nivel de satisfacción de los Interesados con el alcance del
portfolio de programas y servicios planificado
Porcentaje de factores de valor TI mapeados a factores de
valor del negocio
09 Agilidad de las TI
Nivel de satisfacción de la alta dirección del negocio con la
capacidad de respuesta de TI a nuevos requerimientos
Número de procesos de negocio críticos soportados por
Infraestructura y aplicaciones actualizadas
Tiempo medio de conversión de objetivos TI estratégicos en
una Iniciativa acordada y aprobada
90
MATRIZ RACI APO03
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
APO03.01 Desarrollar la visión de la arquitectura de la empresa A C R R C R C C C R C C
APO03.02 definir la arquitectura de referencia C C R R C A C C C R C C
APO03.03 Seleccionar las oportunidades y las soluciones A C R R C R C C C R C C
APO03.04 Definir la implantación de la arquitectura A C C R C R C C C R C C
APO03.05 Proveer los servicios de la arquitectura empresarial A C C R C R C C C R C C
Tabla 39:APO03. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
91
3.3.9.8. AP011 Gestionar la Calidad
AP011 Gestionar la Calidad Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del Proceso
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados
relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas
probadas y estándares de mejora continua y esfuerzos de eficiencia.
Declaración del Propósito del Proceso
Asegurar la entrega consistente de soluciones y servicios que cumplan con los requisitos de la
organización y que satisfagan las necesidades de las partes interesadas.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a
Incidentes de servicios TI
Porcentaje de partes Interesadas en el negocio
satisfechas de que la entrega de servicios TI cumpla
los niveles de servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
92
MATRIZ RACI APO11
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e I
nfo
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
APO11.01 Establecer un sistema de gestión de calidad (SGC) C C C I C C R I R
APO11.02 Definir y gestionar los estándares, procesos y prácticas de calidad C C C C C A R R
APO11.03 Enfocar la gestión de la calidad en los clientes A C C R I I
APO11.04 Supervisar y hacer controles y revisiones de calidad C C C R R C A C C
APO11.05 Integrar la gestión de la calidad en la implementación de soluciones y la entrega de servicios C I A R
APO11.06 Mantener una mejor continua C C C A R R
Tabla 40: APO011. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
93
3.3.9.9. AP012 Gestionar el Riesgo
AP012 Gestionar el Riesgo Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del Proceso
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de
tolerancia establecidos por la dirección ejecutiva de la empresa.
Declaración del Propósito del Proceso
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgos empresarial
general (ERM) y equilibrar los costes y beneficios de gestionar riesgos empresariales relacionados
con TI.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
04 Riesgos de negocio relacionados
con las TI gestionados
Porcentaje de procesos TI de negocio críticos,
servicios TI y programas de negocio habilitados por TI
cubiertos por evaluaciones de riesgo
Número de Incidentes TI significativos que no fueron
Identificados en evaluaciones de riesgos
Porcentaje de evaluaciones de riesgo corporativas que
Incluyen riesgo TI
Frecuencia de actualización del perfil de riesgo
94
MATRIZ RACI APO12
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
APO12.01 Recopilar datos I R R I C A R R
APO12.02 Analizar el riesgo I R C I R A C C
APO12.03 Mantener un perfil de riesgo I A C I R R C C
APO12.04 Expresar el riesgo I R C I C A C C
APO12.05 Definir un portafolio de acciones para la gestión de riesgos I A C I C R C C
APO12.06 Responder al riesgo I R R I C A R R
Tabla 41: APO012. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
95
3.3.9.10. BAI02 Gestionar la definición de requisitos
BAI02 Gestionar la definición de requisitos Área: Gestión
Dominio: Construir, Adquirir e Implementar
Descripción del Proceso
Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que
estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de
negocios, aplicaciones, información /datos, Infraestructura y servicios. Coordinar con las partes
interesadas afectadas la revisión de las opciones viables, incluyendo costes y beneficios
relacionados, análisis de riesgo y aprobación de los requerimientos y soluciones propuestas.
Declaración del Propósito del Proceso
Crear soluciones viables y óptimas que cumplan con las necesidades de la organización mientras
minimizan el riesgo.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
01 Alineamiento de TI y estrategia
de negocio
Porcentaje de metas estratégicas y requerimientos
corporativos apoyados por metas TI estratégicas
Nivel de satisfacción de los Interesados con el alcance
del portfolio de programas y servicios planificado
Porcentaje de factores de valor TI mapeados a
factores de valor del negocio
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a
Incidentes de servicios TI
Porcentaje de partes Interesadas en el negocio
satisfechas de que la entrega de servicios TI cumpla
los niveles de servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
96
MATRIZ RACI BAI02
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
BAI02.01 Definir y mantener los requerimientos técnicos y funcionales de negocio I A C C C C
BAI02.02 Realizar un estudio de vialidad y proponer soluciones integrales R A C C C
BAI02.03 Gestionar los riesgos de los requerimientos R A R C R R
BAI02.04 Obtener la aprobación de los requerimientos y soluciones R A C C C
Tabla 42: BAI02. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
97
3.3.9.11. BAI04 Gestionar la Disponibilidad y la Capacidad
BAI04 Gestionar la Disponibilidad y la Capacidad
Área: Gestión
Dominio: Construir, Adquirir e
Implementar
Descripción del Proceso
Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una
provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la
previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto
en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los
requerimientos identificados.
Declaración del Propósito del Proceso
Mantener la disponibilidad del servicio, la gestión eficiente de recursos y la optimización del
rendimiento de los sistemas mediante la predicción del rendimiento futuro y de los requerimientos de
capacidad.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a Incidentes
de servicios TI
Porcentaje de partes Interesadas en el negocio satisfechas
de que la entrega de servicios TI cumpla los niveles de
servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
14 Disponibilidad de información útil y
fiable para la toma de decisiones
Nivel de satisfacción del usuario del negocio con la calidad
y la puntualidad (o disponibilidad) de la información de
gestión
Número de Incidentes de procesos de negocio causados
por la indisponibilidad de la Información
Relación y alcance de decisiones de negocio erróneas
donde la Información errónea o no disponible fue un factor
clave
98
MATRIZ RACI BAI04
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual y crear una línea de referencia. C A
BAI04.02 Evaluar el impacto en el negocio C R
BAI04.03 Planificar los requisitos de servicio nuevo o modificados. C A
BAI04.04 Supervisar y revisar la disponibilidad y la capacidad. C A
BAI04.05 Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad. I A
Tabla 43: BAI04. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
99
3.3.9.12. BAI08 Gestionar el Conocimiento
BAI08 Gestionar el Conocimiento 1 Área: Gestión
Dominio: Construir, Adquirir e Implementar
Descripción del Proceso
Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar soporte a
todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación,
recopilación, organización, mantenimiento, uso y retirada de conocimiento.
Declaración del Propósito del Proceso
Proporcionar el conocimiento necesario para dar soporte a todo el personal en sus actividades
laborales, para la toma de decisiones bien fundadas y para aumentar la productividad.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
09 Agilidad de las TI
Nivel de satisfacción de la alta dirección del negocio
con la capacidad de respuesta de TI a nuevos
requerimientos.
Número de procesos de negocio críticos soportados
por Infraestructura y aplicaciones actualizadas.
Tiempo medio de conversión de objetivos TI
estratégicos en una Iniciativa acordada y aprobada.
17 Conocimiento, experiencia e
iniciativas para la innovación de
negocio
Nivel de concienciación y comprensión de la alta
dirección del negocio sobre las posibilidades de TI.
Nivel de satisfacción de los Interesados con los
niveles de experiencia e Ideas de Innovación de TI.
Número de iniciativas aprobadas resultantes de Ideas
TI Innovadoras.
100
MATRIZ RACI BAI08
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
BAI08.01 Cultivar y facilitar una cultura de intercambio de conocimientos. A R R R R
BAI08.02 Identificar y clasificar las fuentes de información A C C R R
BAI08.03 Organizar y contextuar la información, transformándola en conocimientos. C I A R R
BAI08.04 Utilizar y compartir el conocimiento. R R C R
BAI08.05 Evaluar y retirar la información. C R R R
Tabla: 44: BAI08. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
101
3.3.9.13. BAI09 Gestionar los Activos
BAI09 Gestionar los Activos Área: Administración
Dominio: Construir, Adquirir e Implantar
Descripción del Proceso
Gestionar los activos de TI a través de su ciclo de vida para asegurar que su uso aporta valor a un
coste óptimo, que se mantendrán en funcionamiento (Acorde a los objetivos), que están justificados y
protegidos físicamente, y que los activos que son fundamentales para apoyar la capacidad del
servicio son fiables y están disponibles. Administrar las licencias de software para asegurar que se
adquiere el número óptimo, se mantienen y despliegan en relación con el uso necesario para el
negocio y que el software Instalado cumple con los acuerdos de licencia.
Declaración del Propósito del Proceso
Contabilización de todos los activos de TI y optimización del valor proporcionado por estos activos.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
11 Optimización de activos, recursos y
capacidades de las TI
Frecuencia de evaluaciones de la madurez de la capacidad
y de la optimización de costes
Tendencia de los resultados de las evaluaciones
Niveles de satisfacción de la alta dirección del negocio y de
TI con los costes y capacidades TI
102
MATRIZ RACI BAI09
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
BAI09.01 Identificar y registrar activos actuales. C I A R
BAI09.02 Gestionar activos críticos. C I C A R
BAI09.03 Gestionar el ciclo de vida de los activos. A R
BAI09.04 Optimizar el coste de los activos. R I A R R
BAI09.05 Administrar licencias. I C A R R
Tabla: 45 BAI09. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
103
3.3.9.14. DSS01 Gestionar Operaciones
DSS01 Gestionar Operaciones Área: Gestión
Dominio: Entrega, Servicio y Soporte
Descripción del Proceso
Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar
servicios de TI tanto internos como externalizados, incluyendo la ejecución de procedimientos
operativos estándar predefinidos y las actividades de monitorización requeridas.
Declaración del Propósito del Proceso
Entregar los resultados del servicio operativo de TI, según lo planificado.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
04 Riesgos de negocio relacionados
con las TI gestionados
Porcentaje de procesos TI de negocio críticos, servicios TI y
programas de negocio habilitados por TI cubiertos por
evaluaciones de riesgo
Número de Incidentes TI significativos que no fueron
Identificados en evaluaciones de riesgos
Porcentaje de evaluaciones de riesgo corporativas que
Incluyen riesgo TI
Frecuencia de actualización del perfil de riesgo
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a Incidentes
de servicios TI
Porcentaje de partes Interesadas en el negocio satisfechas
de que la entrega de servicios TI cumpla los niveles de
servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
11 Optimización de activos, recursos y
capacidades de las TI
Frecuencia de evaluaciones de la madurez de la
capacidad y de la optimización de costes
Tendencia de los resultados de las evaluaciones
Niveles de satisfacción de la alta dirección del negocio y
de TI con los costes y capacidades TI
104
MATRIZ RACI DSS01
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
DSS01.01 Ejecutar procedimientos operativos. A
DSS01.02 Gestionar servicios externalizados de TI. I A R
DSS01.03 Supervisar la infraestructura de TI. I I A
DSS01.04 Gestionar el entorno. C A C C R
DSS01.01 Gestionar las instalaciones. C A C C R
Tabla: 46 DSS01. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
105
3.3.9.15. DSS02 Gestionar Peticiones e Incidentes de Servicio
DSS02 Gestionar Peticiones e Incidentes de
Servicio
Área: Gestión
Dominio: Entrega, Servicio y Soporte
Descripción del Proceso
Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de
incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar,
investigar, diagnosticar, escalar y resolver incidentes.
Declaración del Propósito del Proceso
Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de
consultas de usuario e incidentes.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
04 Riesgos de negocio relacionados
con las TI gestionados
Porcentaje de procesos TI de negocio críticos, servicios TI y
programas de negocio habilitados por TI cubiertos por
evaluaciones de riesgo
Número de Incidentes TI significativos que no fueron
Identificados en evaluaciones de riesgos
Porcentaje de evaluaciones de riesgo corporativas que
Incluyen riesgo TI
Frecuencia de actualización del perfil de riesgo
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a Incidentes
de servicios TI
Porcentaje de partes Interesadas en el negocio satisfechas
de que la entrega de servicios TI cumpla los niveles de
servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
106
MATRIZ RACI DSS02
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo
(C
EO
)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio.
I I
A R
DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes.
I I
A
DSS02.03 Verificar, aprobar y resolver peticiones e incidentes.
I R
DSS02.04 Investigar, diagnosticar y localizar incidentes.
I I
I I R
DSS02.05 Resolver y recuperarse de incidentes.
I I
C I R
DSS02.06 Cerrar peticiones de servicio e incidente.
I I
I I A
DSS02.07 Seguir el estado y emitir informes.
I I
I I A
Tabla: 47 DSS02. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
107
3.3.9.16. DSS03 Gestionar Problemas
DSS03 Gestionar Problemas Área: Gestión
Dominio: Entrega, Servicio y Soporte
Descripción del Proceso
Identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo para prevenir
incidentes recurrentes. Proporcionar recomendaciones de mejora.
Declaración del Propósito del Proceso
Incrementar la disponibilidad, mejorar los niveles de servicio, reducir costes, y mejorar la comodidad y
satisfacción del cliente reduciendo el número de problemas operativos.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
04 Riesgos de negocio relacionados
con las TI gestionados
Porcentaje de procesos TI de negocio críticos,
servicios TI y programas de negocio habilitados por TI
cubiertos por evaluaciones de riesgo
Número de Incidentes TI significativos que no fueron
Identificados en evaluaciones de riesgos
Porcentaje de evaluaciones de riesgo corporativas que
Incluyen riesgo TI
Frecuencia de actualización del perfil de riesgo
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a
Incidentes de servicios TI
Porcentaje de partes Interesadas en el negocio
satisfechas de que la entrega de servicios TI cumpla
los niveles de servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
108
14 Disponibilidad de información útil
y fiable para la toma de decisiones
Nivel de satisfacción del usuario del negocio con la
calidad y la puntualidad (o disponibilidad) de la
información de gestión
Número de Incidentes de procesos de negocio
causados por la indisponibilidad de la Información
Relación y alcance de decisiones de negocio erróneas
donde la Información errónea o no disponible fue un
factor clave
MATRIZ RACI DSS03
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
DSS03.01 Identifica y clasificar problemas I I I I R R
DSS03.02 Investigar y diagnosticar problemas. I I A
DSS03.03 levanta errores conocidos. A
DSS03.04 Resolver y cerrar problemas. I I I C I R
DSS03.05. Realizar una gestión de problemas proactiva. R
Tabla 48: DSS03. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
109
3.3.9.17. DSS04 Gestionar la Continuidad
DSS04 Gestionar la Continuidad Área: Gestión
Dominio: Entrega, Servicio y Soporte
Descripción del Proceso
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones
de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI
requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa.
Declaración del Propósito del Proceso
Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la información a un
nivel aceptable para la empresa ante el evento de una interrupción significativa.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
04 Riesgos de negocio relacionados
con las TI gestionados
Porcentaje de procesos TI de negocio críticos, servicios TI y
programas de negocio habilitados por TI cubiertos por
evaluaciones de riesgo
Número de Incidentes TI significativos que no fueron
Identificados en evaluaciones de riesgos
Porcentaje de evaluaciones de riesgo corporativas que
Incluyen riesgo TI
Frecuencia de actualización del perfil de riesgo
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a Incidentes
de servicios TI
Porcentaje de partes Interesadas en el negocio satisfechas
de que la entrega de servicios TI cumpla los niveles de
servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
110
14 Disponibilidad de información útil y
fiable para la toma de decisiones
Nivel de satisfacción del usuario del negocio con la calidad
y la puntualidad (o disponibilidad) de la información de
gestión
Número de Incidentes de procesos de negocio causados
por la indisponibilidad de la Información
Relación y alcance de decisiones de negocio erróneas
donde la Información errónea o no disponible fue un factor
clave
111
MATRIZ RACI DSS04
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
DSS04.01 Definir la política de continuidad del negocio, objetivos y alcance.
C
C
C R R C
DSS04.02 Mantener una estrategia de continuidad
C
I
C R R
DSS04.03 Desarrollar e implementar una respes a la continuidad del negocio.
I
C R R
DSS04.04 Ejercitar, probar y revisar el plan de continuidad
I
R R R
DSS04.05 Revisar, mantener y mejorar el plan de continuidad
I
I
R R
DSS04.06 proporcionar formación en el plan de continuidad
I
R R R
DSS04.07 Gestionar acuerdos de respaldo
A
DSS04.08 Ejecutar revisiones post-reanudación.
C
I
R R R
Tabla 49: DSS04. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
112
3.3.9.18. MEA01 Supervisar, Evaluar y Valorar el rendimiento y la conformidad
MEA01 Supervisar, Evaluar y Valorar el
Rendimiento y la Conformidad
Área: Gestión
Dominio: Supervisar, Evaluar y Valorar
Descripción de Proceso
Recolectar, validar y evaluar métricas y objetivos de negocio, de TI y de procesos. Supervisar que los
procesos se están realizando acorde al rendimiento acordado y conforme a los objetivos y métricas y
se proporcionan informes de forma sistemática y planificada.
Declaración del Propósito del Proceso
Proporcionar transparencia de rendimiento y conformidad y conducción hacia la obtención de los
objetivos.
El proceso apoya la consecución de un conjunto de principales metas TI:
Meta TI Métricas Relacionadas
04 Riesgos de negocio relacionados
con las TI gestionados
Porcentaje de procesos TI de negocio críticos, servicios TI y
programas de negocio habilitados por TI cubiertos por
evaluaciones de riesgo
Número de Incidentes TI significativos que no fueron
Identificados en evaluaciones de riesgos
Porcentaje de evaluaciones de riesgo corporativas que
Incluyen riesgo TI
Frecuencia de actualización del perfil de riesgo
07 Entrega de servicios de TI de
acuerdo a los requisitos del negocio
Número de Interrupciones de negocio debidas a Incidentes
de servicios TI
Porcentaje de partes Interesadas en el negocio satisfechas
de que la entrega de servicios TI cumpla los niveles de
servicio acordados
Porcentaje de usuarios satisfechos con la calidad de la
entrega de servicios TI
113
MATRIZ RACI MEAO1
Practicas claves de Gobierno
Junta
Ge
nera
l de
Accio
nis
tas
Gere
nte
Ge
nera
l E
jecu
tivo (
CE
O)
Conta
dora
Genera
l F
inancie
ro (
CO
F)
Eje
cu
tivo d
e N
egocio
Com
ité d
e E
str
ate
gia
de T
I
Com
ité d
e S
up
erv
isió
n (
Pro
yecto
s y
Pro
gra
mas)
Directo
r G
en
era
l de R
iesg
os (
CR
O)
Directo
r d
e s
eguri
da
d d
e la
info
rmació
n (
CIS
O)
Consejo
de A
rquitectu
ra
Com
ité d
e R
iesgo
Em
pre
sa
rial
Jefe
de
Recurs
os H
um
an
os
Cum
plim
iento
Norm
ativo
Directo
r d
e Info
rmática/S
iste
mas (
CIO
)
Jefe
de
Opera
cio
nes d
e T
I
Jefe
de
Ad
min
istr
ació
n d
e T
I
MEA01.01 Establecer un choque de la supervisión. A R R C C C R C I
MEA01.02 Establecer los objetivos de cumplimiento y rendimiento. I I A C C R I
MEA01.03 Recopilar y procesar los datos de cumplimiento y rendimiento. C C A R I
MEA01.04 Analizar e informar sobre el rendimiento. A C C C R C
MEA01.05 Asegurar la implantación de medidas correctivas. I I I C C C A R C
Tabla 50:MEA01. Fuente. Adaptación de Cobit 5. Elaboración Tglo. Heraldo Narváez.
3.4. CONCLUSIONES PARCIALES DEL CAPITULO
De lo anterior se puede concluir que:
Se analizó la situación de la Matriz de Saitel en base a los objetivos que tiene la
empresa de donde se obtuvo las metas corporativas y metas de TI.
Se analiza la situación actual de cómo se encuentra la Matriz de Saitel en cuanto a
metas Corporativas, Metas TI.
114
Se realiza un análisis de hacia dónde deberíamos llegar la empresa Matriz Saitel,
aplicando una serie de cuestiones en donde se prioriza las metas que van
encaminadas al rol comercial de la empresa.
Se obtuvo metas de TI que deben ser tomadas encueta para un mejor Gobierno de
TI.
Se analiza los procesos del marco de referencia de Cobit propuestos para una mejor
gobernanza en TI.
Las metas de Ti y procesos que no son tomados en cuenta no significan que no
sean importantes para la empresa, sino que la empresa ya los aplica en una parte
para el buen desempeño del giro de negocio.
115
CONLUSIONES FINALES
De la realización de este trabajo de investigación, se obtiene las siguientes
conclusiones:
La metodología propuesta sugiere utilizar a COBIT 5 como marco de referencia para
Gobierno de TI.
El modelo de procesos para la matriz de Saitel, mediante el análisis y selección de
procesos son 18 y están clasificados de la siguiente manera 4 en el Gobierno de TI
dentro de evaluar, orientar y supervisar (EDM), en la Gestión de TI dentro de alinear,
planificar y organizar (APO) son 5, en construir, adquirir e implementar (BAI) son 4,
en entrega, servicio y soporte (DSS) son 4 y en supervisar, evaluar y valorar (MEA)
es un proceso.
La combinación de dos objetivos estratégicos (actuales y deseados) da como
resultado el modelo de gobierno de Ti, lo cual matiza de manera importante el
resultado de esta propuesta dándole un ingrediente propio de la empresa y su
necesidad actual.
Se analiza hacia donde se quiere llegar en la empresa Matriz Saitel, con la utilización
del Marco de referencia que es Cobit 5.
El personal de la matriz de Saitel trabaja con procesos empíricos no establecidos en
donde no se garantiza una Gestión de TI adecuada.
La matriz de Saitel cuenta con una infraestructura en activos muy grande pero carece
de un adecuado Gobierno de TI.
116
RECOMENDACIONES
Implementar cada uno de los planes de acción recomendados ya que se tiene
definidos distintas actividades principales que servirán para llevar a cabo la
consecución de los planes de acción propuestos.
Realizar una auditoría a la empresa Saitel Matriz Ibarra.
Verificar un análisis de riesgos de los Sistemas de Información.
Organizar los recursos de la seguridad.
Documentar los procesos, procedimientos y actividades, en los indicadores de
gestión y control, que permitan la excelencia operativa.
Fomentar la capacitación y aprendizaje de Gobierno de Ti en el personal, sobre las
metodologías, marcos de trabajo, normas y estándares internacionales que
benefician la gestión de ti, de manera eficiente y oportuna.
117
BIBLIOGRAFIA
Cevallos O. Tatiana E. “Creación e implementación de un sistema de gestión
integral del riesgo laboral y seguridad industrial para soluciones avanzadas
informáticas y telecomunicaciones Saitel.ec”, Universidad Técnica del Norte Facultad
de Ciencias Administrativas y Económicas, 2013.
Tintín M. Christian Javier y Vásquez P. Roberto Javier. “Aplicación de Cobit5.0 en
el diseño de un gobierno y gestión de ti para el centro de educación continua”,
Escuela politécnica Nacional, Facultad de Ingeniería de Sistemas, 2015.
Escobar Q. Ángel Fernando y Vicuña M. Cesar Rodolfo “Desarrollo de un modelo
de gobierno de tecnologías de la información para las instituciones públicas del
ecuador integrando al gobierno por resultados (GPR)” Escuela politécnica Nacional,
Facultad de Ingeniería de Sistemas, 2014.
Arteaga Calispa Hernán Alejandro. “Desarrollo de un gobierno de ti para la
empresa fiduciaria ecuador utilizando Cobit 4.1”, Escuela politécnica Nacional,
Facultad de Ingeniería de Sistemas, 2011.
Zamora Morocho Edwin Patricio, “Auditoría De Gestión De Las Tecnologías De La
Información Para Ingeconsult Utilizando Framework Cobit 4.1”, Universidad
Tecnológica Israel, Facultad de Sistemas Informáticos, 2012
Matute Ma. Del Carmen, Quispe Transito, Auditoría de la Gestión de la Seguridad
en la red de datos del SWISSOTEL basado en COBIT, Escuela Politécnica Nacional,
Facultad de Sistemas, 2006.
COBIT 5.0. (2012, Abril 10). ISACA. Retrieved Septiembre 18, 2013, from ISACA:
http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx.
118
BURBANO MEJÍA, H., & ALTAMIRANO SANTILLÁN, E. (2007). Manual de Métodos
y Técnicas de la investigación.
ISO 27002. (2009, Octubre). Portal de soluciones técnicas y organizativas a los
controles de ISO / IEC 27002. Retrieved julio 5, 2013, from portal de soluciones
técnicas y organizativas a los controles de ISO/ IEC 27002: http://iso27002.es/
López A., Ruiz J. (n.d.f). Controles ISO 27002. El portal de ISO 27001 en Español.
España. Obtenida el 25 de Enero del 2011 de
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
ISO / IEC. (2005). International Standard ISO/IEC 27002 – Information Technology –
Security Techniques – Code of Practice for Information Security Management.
FirstEdition. Obtenida el 28 de Enero del 2011 de
http://www.scribd.com/doc/48883668/Norma-ISO-27002
Corletti, A. (2009). ISO 27001 e ISO 27004. Obtenida el 29 de Enero del 2011 de
http://www.slideshare.net/dcordova923/iso-27001-e-iso-27004
COBIT5-Framework-Spanish.pdf
Ing. Christian Alfonso Peñaherrera Aguayo. (Desarrollo de un modelo de
mejoramiento de procesos de tecnología de información basado en Cobit 5 para
Yambal Ecuador s.a.), Universidad para las américas (Udla), 2015.
REFERENCIAS
Casallas, R. (s.f.). Implementar Gobierno de TI con COBIT. Universidad de los
Andes.
COBIT. (2012). UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTION
DE LAS TI DE LA EMPRESA. ISACA.
COBIT5. (2012). Procesos Catalizadores. Estados Unidos: ISACA.
Corporate Governance of Information . (s.f.). ISO-IEC-38500.
Francavilla, C. (s.f.). http://cafrancavilla.wordpress.com.
Institute. (2007). www.isaca.org . Obtenido de IT Governance.
Institute, P. M. (2013). Guía de los fundamentos de gestión de proyectos.
Institute, Project Management. (2004). Guía de los Fundamentos de la Dirección de
Proyectos (Guía del PMBOK®) Tercera Edición.
itil.osiatis.es. (s.f.).
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gesti
on_TI/que_es_ITIL/que_es_ITIL.php.
Molano, A. (20 de Febrero de 2015). Colombia Digital. Obtenido de
http://colombiadigital.net/actualidad/articulos-informativos/item/8163-que-es-
togaf.html.
Saitel. (2015). www.saitel.ec.
Wikipedia. (s.f.). Gobernanza de las tecnologías de la información. Obtenido de
http://es.wikipedia.org/wiki/Gobernanza_de_las_tecnologías_de_la_informació
n.
Wikipedia. (s.f.). ITIL. Obtenido de
https://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library.
Wikipedia. (s.f.). Tecnologias_de_la_informacion. Obtenido de
http://es.wikipedia.org/wiki/Tecnologias_de_la_informacion.
ANEXOS
ENCUESTA DIRIJIDA AL PERSONAL ADMINISTRATIVO Y TECNICO EMPRESA
SAITEL MATRZ IBARRA.
De las preguntas realizadas seleccione con un visto la respuesta que crea
conveniente de acuerdo a su seriedad.
1. Conozco los procesos de TI para con el cliente.
SI
NO
2. ¿Estoy realizando una operación de TI eficiente?
SI
NO
3. ¿Están los usuarios finales satisfechos con la calidad del servicio de TI?
SI
NO
4. ¿Considero todos los riesgos relativos a TI?
SI
NO
5. ¿La oficina matriz de Saitel mantiene identificados y definidos los procesos
que ejecuta a través de manuales?
SI
NO
6. Se ha asignado personal específico para la seguridad lógica y física de TI.
SI
NO
7. Se Presenta informes a la Gerencia del desempeño de sus actividades
asignadas y realizadas.
SI
NO
8. Se lleva una bitácora sobre los procesos realizados.
SI
NO
9. Se lleva una adecuada planificación con todos los trabajos a realizarse.
SI
NO
10. Conoce de alguna normativa de calidad de servicio que se aplique en la matriz
Saitel.
11. Con que frecuencia se capacita al personal sobre nuevas tendencias en TI
(hardware/ software).
0 A 3 MESES
3 A 6 MESES
6 MESES A UN AÑO
MAS DE UN AÑO
NUNCA
12. Valore según su criterio el nivel de implementación del Plan de Contingencia
en la empresa.
MALO
REGULAR
BUENO
EXCELENTE
SI
NO
JEFE DE SEGURIDAD ING. ALBERTO ZUMARRAGA
DESARROLLO DE SISTEMAS ING. JORGE MUESES
CONTADORA GENERAL ING. SILVANA CARANQUI
top related