implementaciÓn de un modelo de gestiÓn estratÉgico de...

Implementación de un modelo de gestiónestratégico de TI para la empresa IT-Expert

Item Type info:eu-repo/semantics/bachelorThesis

Authors Juro Pereira, Peter; Velásquez Vara, Carlos Andrés

Publisher Universidad Peruana de Ciencias Aplicadas (UPC)

Rights info:eu-repo/semantics/openAccess

Download date 01/11/2018 06:26:21

Link to Item http://hdl.handle.net/10757/582052

http://hdl.handle.net/10757/582052

Facultad de Ingeniería

Escuela de Ingeniería de Sistemas y Computación

Carrera de Ingeniería de Sistemas de Información

IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN

ESTRATÉGICO DE TI PARA LA EMPRESA IT-

EXPERT

Memoria del Proyecto Profesional para la obtención del Título Profesional de

Ingeniero de Sistemas de Información

Autores

U201011057, Peter Juro Pereira

U201011417, Carlos Andrés Velásquez Vara

Asesor

Escobar Urueña, Marcela

Lima, Octubre 2015

II

RESUMEN EJECUTIVO

Actualmente el manejo adecuado de la información en las empresas es fundamental para

realizar de manera correcta la toma de decisiones y sobresalir en un ambiente empresarial

cada vez más competitivo. En este sentido, la gestión de TI desde un nivel estratégico es

vital en toda organización. Sin embargo, no todas las organizaciones realizan una eficiente

gestión de TI, sobre todo aquellas que no están consolidadas: Las pymes, estas presentan

ciertos problemas vinculados a la gestión de TI como: Falta de alineamiento entre los

objetivos de TI y los estratégicos, una pobre gestión de proyectos, inversiones que no

generan beneficio alguno, falta de control y seguimiento, y gestión de servicios inadecuada.

El presente documento muestra el trabajo realizado en el proyecto “Implementación de un

modelo de gestión estratégica de TI para la empresa IT-Expert”, cuyo resultado permitirá a

la empresa IT-Expert utilizar la información y la tecnología de la manera más eficiente y así

ayudar a alcanzar los objetivos estratégicos, mediante la implementación de un modelo de

gestión de TI basado en COBIT 5. La metodología de implementación se encuentra en la

guía de ISACA “COBIT 5 Implementation”. El modelo de procesos de referencia usado fue

obtenido del primer dominio de gestión de TI del marco de referencia COBIT 5 y el modelo

de evaluación de procesos utilizado es PAM (Process Assessment Model) propuesto por el

mismo marco de referencia.

Para este proyecto, se realizó en primera instancia una evaluación de la capacidad actual de

los procesos y se definió también el nivel de capacidad objetivo de los mismos. Después de

un análisis de brechas, se propusieron las mejoras necesarias para alcanzar el nivel de

capacidad objetivo. Estas se priorizaron mediante una evaluación basada en la dificultad de

implementación (tiempo, conocimiento necesario) y los beneficios que producirían. Se

implementaron las mejoras relacionadas al proceso "Gestionar el marco de gestión de TI".

Finalmente, se realizó una segunda evaluación para validar si efectivamente se había

III

alcanzado el nivel de capacidad objetivo. De esta manera, se logró que IT-Expert tuviera

mecanismos y autoridades para la gestión de la información y el uso de TI que pudieran

apoyar a los objetivos de gobierno.

IV

ABSTRACT

Nowadays the proper managing of information inside companies is crucial for properly

perform decision-making and take advantage on business in an increasingly competitive

environment. In that sense, from the view of strategic level, IT management is vital in any

organization or company. However, not all organizations perform efficient IT management,

especially those that are not consolidated: SMEs or small companies; these small companies

suffer certain problems related to IT management such as the following: Lack of alignment

between IT and strategic objectives; Poor project management: investments that do not

generate a substantial profit; Lack of control and monitoring, and inadequate services

management.

This document shows the job done in the project named as "Implementation of a strategic

management model for enterprise IT IT-Expert”, and the corresponding results will allow

the IT-Expert company expertise the use of information technologies more efficiently and it

will achieve the strategic objectives through the implementation of a management model

based IT COBIT 5. The implementation methodology is in the ISACA guide "COBIT 5

Implementation". The process model used as reference was obtained from the first domain

IT management COBIT 5 framework and the process assessment model considered for this

project is PAM (Process Assessment Model) proposed by the same framework document.

For this project, firstly, it was done an evaluation of the current scope of the processes and

also the level of objective capacity was defined. After a gap analysis, it was proposed

necessary improvements to achieve the level of objective capacity. These were prioritized

through an evaluation based on the implementation difficulty (time, required knowledge)

and the benefits that would result of it. It was made process improvements related to

"Manage the IT management framework ". Finally, a second evaluation was performed to

validate if they had actually reached the target level of capacity. By all the above, it was

possible that IT-Expert Company have mechanisms and authorities for information

management and that they could make use of IT to support government objectives.

V

TABLA DE CONTENIDOS

RESUMEN EJECUTIVO .................................................................................................................................... II

ABSTRACT ..................................................................................................................................................... IV

TABLA DE CONTENIDOS ................................................................................................................................. V

LISTA DE ILUSTRACIONES .............................................................................................................................. IX

INTRODUCCIÓN ............................................................................................................................................. 1

DESCRIPCIÓN DEL PROYECTO ........................................................................................................................ 3

OBJETO DE ESTUDIO ........................................................................................................................................ 4

DOMINIO DEL PROBLEMA .......................................................................................................................... 4

PLANTEAMIENTO DEL PROBLEMA .............................................................................................................. 4

OBJETIVO DEL PROYECTO ................................................................................................................................ 5

INDICADORES DE ÉXITO .............................................................................................................................. 5

PLANIFICACION DEL PROYECTO .................................................................................................................. 6

MARCO TEORICO ......................................................................................................................................... 18

CONCEPTO ..................................................................................................................................................... 19

ENFOQUES DE TRABAJO ................................................................................................................................ 20

Primera fase .............................................................................................................................................. 20

Segunda fase ............................................................................................................................................. 20

ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES INTERNACIONALES ................................................... 20

COBIT 5 ..................................................................................................................................................... 20

Primer dominio de gestión de Cobit 5 ....................................................................................................... 22

Modelo de evaluación de procesos PAMP ................................................................................................ 25

ESTADO DEL ARTE........................................................................................................................................ 28

ESTADO DEL ARTE .......................................................................................................................................... 29

Revisión de la literatura ............................................................................................................................ 29

Modelos de gestión y gobierno de TI ........................................................................................................ 35

IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATEGICA EN IT-EXPERT ............................................ 45

FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL COMPROMISO DE LA ALTA DIRECCIÓN ........................ 46

PUNTOS DÉBILES ....................................................................................................................................... 46

EVENTOS DESENCADENANTES .................................................................................................................. 47

IDENTIFICACIÓN DE PARTES INTERESADAS .............................................................................................. 47

FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL ESTADO ACTUAL....................................................... 50

VI

CASCADA DE METAS ................................................................................................................................. 50

Mapeo Entre necesidades de las partes interesadas y las metas de la empresa .................................................. 50

Mapeo entre las necesidades de la empresa y las metas relacionadas con TI ...................................................... 58

Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5 ............................................. 69

EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE

REVISIÓN) .................................................................................................................................................. 77

Evaluaciones del dominio de gestión .................................................................................................................... 77

Criterios de evaluación .......................................................................................................................................... 78

Calificación de la capacidad actual de los procesos seleccionados ....................................................................... 81

Resumen de calificación de la capacidad actual de los procesos seleccionados ................................................. 110

FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL ESTADO FUTURO DESEADO ........................................... 113

NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS ............................................................................. 113

LISTA DE OPORTUNIDADES DE MEJORA ................................................................................................. 114

CUADRO INTEGRADO DE MEJORA .......................................................................................................... 118

PLAN DE MEJORAMIENTO DE ALTO NIVEL ............................................................................................. 121

FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS BRECHAS ................................................................... 123

Priorizar las iniciativas potenciales ......................................................................................................... 123

DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN DE TI .......................................................... 132

Roles .................................................................................................................................................................... 133

Stakeholders ........................................................................................................................................................ 134

Entradas del proceso ........................................................................................................................................... 135

Salidas de proceso ............................................................................................................................................... 136

Caracterización .................................................................................................................................................... 137

Diagrama de proceso........................................................................................................................................... 143

DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL ............................................. 144

Descripción del proceso ...................................................................................................................................... 144

Roles .................................................................................................................................................................... 144

STAKEHOLDERS ................................................................................................................................................... 145


Salidas del proceso .............................................................................................................................................. 145


Diagrama del proceso .......................................................................................................................................... 147

DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO .............................................................................. 148


Roles .................................................................................................................................................................... 149

STAKEHOLDERS ................................................................................................................................................... 150





DEFINICIÓN DE PROCESO GESTIONAR LOS RECURSOS HUMANOS ......................................................... 158


VII

Roles .................................................................................................................................................................... 159

STAKEHOLDERS ................................................................................................................................................... 159





FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR EL PLAN DE IMPLEMENTACIÓN ............................... 163

Productos de Trabajo de la Implementación .......................................................................................... 163

MODELO DE PROCESOS .......................................................................................................................... 165

DEFINICION DEL PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................... 166

DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI .......................................................... 168

DESCRIPCIÓN DEL PROCESO 1.1.DEFINIR LA ESTRUCTURA ORGANIZATIVA ....................................................... 179

DESCRIPCIÓN DEL PROCESO 1.2.MANTENER LOS ELEMENTOS CATALIZADORES ............................................... 189

DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI ............... 201

DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ............................ 207

DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS .................................. 213

DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..... 220

POLÍTICAS ................................................................................................................................................ 225

ESTRUCTURA ORGANIZATIVA ................................................................................................................. 227

ARQUITECTO DE TI .............................................................................................................................................. 227

GESTOR DE RIESGOS ............................................................................................................................................ 228

GESTOR DE LA SEGURIDAD .................................................................................................................................. 228

ROLES ...................................................................................................................................................... 229

ARQUITECTO DE TI .............................................................................................................................................. 229

GESTOR DE RIESGOS ............................................................................................................................................ 229

GESTOR DE LA SEGURIDAD .................................................................................................................................. 229

MÉTRICAS ............................................................................................................................................... 230

INDICADORES ...................................................................................................................................................... 230

NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES ............................................................................. 230

NIVEL DE AVANCE REAL DEL PROYECTO ............................................................................................................. 231

NIVEL DE ACTIVIDADES REALIZADAS EN EL PROYECTO ....................................................................................... 231

FASE 6 - ¿HEMOS CONSEGUIDO LLEGAR? DESARROLLAR EL PLAN DE IMPLEMENTACIÓN .......................... 233

Tablero De Indicadores ........................................................................................................................... 233

Formulario Reuniones Del Proyecto ........................................................................................................ 234

Formulario Avance Del Proyecto ............................................................................................................. 235

Reporte De Informe De Avance Y Reuniones De It-Expert ...................................................................... 236

Avance del proyecto ................................................................................................................................ 236

Reuniones por proyecto .......................................................................................................................... 237

Informe de EDT ....................................................................................................................................... 237

Informe de reuniones .............................................................................................................................. 238

Resumen de avances comparativo ......................................................................................................... 239

VIII

Resumen de reuniones comparativo ....................................................................................................... 240

FASE 7 - ¿CÓMO MANTENEMOS VIVO EL IMPULSO? MONITOREAR Y CONTROLAR EL DESEMPEÑO DE LA

IMPLEMENTACIÓN ...................................................................................................................................... 242

Evaluación ............................................................................................................................................... 242

Lecciones Aprendidas .............................................................................................................................. 245

Mejoras Futuras ...................................................................................................................................... 246

GESTIÓN DEL PROYECTO ........................................................................................................................... 248

PRODUCTO FINAL ........................................................................................................................................ 249

GESTIÓN DEL TIEMPO .................................................................................................................................. 250

GESTIÓN DE LOS RECURSOS HUMANOS ...................................................................................................... 256

GESTIÓN DE LAS COMUNICACIONES ........................................................................................................... 258

GESTIÓN DE LOS RIESGOS ............................................................................................................................ 259

LECCIONES APRENDIDAS ............................................................................................................................. 262

CONCLUSIONES ......................................................................................................................................... 263

RECOMENDACIONES ................................................................................................................................. 265

GLOSARIO .................................................................................................................................................. 266

SIGLARIO ................................................................................................................................................... 268

BIBLIOGRAFÍA ............................................................................................................................................ 269

ANEXOS ..................................................................................................................................................... 270

ANEXO 1: ACTAS DE REUNIÓN 1ERA ETAPA ......................................................................................................... 270

ANEXO 2: EDT DEL PROYECTO 1ERA ETAPA......................................................................................................... 300

ANEXO 4: LISTA DE REVISIONES ......................................................................................................................... 328

ANEXO 5: MAPA DE PROCESOS ......................................................................................................................... 392

ANEXO 6: ACTAS DE REUNIÓN 2DA ETAPA .......................................................................................................... 395

ANEXO 7: EDT DEL PROYECTO 2DA ETAPA .......................................................................................................... 418

ANEXO 8: ACTAS DE ACEPTACIÓN DE LOS ENTREGABLES DE LA IMPLEMENTACIÓN DEL MODELO DE GESTIÓN ESTRATÉGICA . 432

ANEXO 9: ACTA DE ACEPTACIÓN DE LA GESTIÓN DEL PROYECTO .............................................................................. 433

ANEXO 10: CONSTANCIA DE SERVICIO DE VALIDACIÓN Y VERIFICACIÓN QS................................................................ 434

ANEXO 11: CERTIFICADO DE APROBACIÓN .......................................................................................................... 438

ANEXO 12: PAPER CIENTÍFICO .......................................................................................................................... 439

ANEXO 13: POSTER Y BRIEF .............................................................................................................................. 454

IX

LISTA DE ILUSTRACIONES

ILUSTRACIÓN 1: DIAGRAMA DE EQUIPO ......................................................................................................................... 9

ILUSTRACION 2: PRINCIPIOS DE COBIT 5 ...................................................................................................................... 20

ILUSTRACIÓN 3: CASCADA DE METAS ........................................................................................................................... 21

ILUSTRACIÓN 4: PROCESOS DEL PRIMER DOMINIO ESTRATÉGICO DE COBIT 5 (APO) ............................................................. 22

ILUSTRACIÓN 5: NIVEL DE CAPACIDAD ......................................................................................................................... 25

ILUSTRACIÓN 6: ESCALA DE CALIFICACIÓN .................................................................................................................... 27

ILUSTRACIÓN 7: SEGMENTOS DEL MARCO DE CALDER-MOIR ............................................................................................ 30

ILUSTRACIÓN 8: MODELO DE GOBIERNO DE LAS TI DE LA NORMA ISO 38500 .................................................................... 31

ILUSTRACIÓN 9: MODELO DE LEAVITT ......................................................................................................................... 32

ILUSTRACIÓN 10: ESTRUCTURA CMMI ....................................................................................................................... 33

ILUSTRACIÓN 11: MODELO DE GOBIERNO DE TI PARA LA INDUSTRIA EDITORIAL .................................................................. 35

ILUSTRACIÓN 12: MAGERIT Y EL MARCO DE GESTIÓN DE RIESGOS ISO 31000 (DIRECCIÓN GENERAL DE MODERNIZACIÓN

ADMINISTRATIVA, PROCEDIMIENTOS E IMPULSO DE LA ADMINISTRACIÓN ELECTRÓNICA, 2012) ................................... 38

ILUSTRACIÓN 13: MOTIVOS POR LOS QUE SE DECIDE IMPLANTAR UN SISTEMA DEL GOBIERNO DE LAS TI EN UNA UNIVERSIDAD ...... 39

ILUSTRACIÓN 14: GUÍA DE BUEN GOBIERNO DE LAS TI PARA EL PRINCIPIO DE RESPONSABILIDAD ............................................. 40

ILUSTRACIÓN 15: TIPOS DE INDICADORES INCLUIDOS EN EL GTI4U ................................................................................... 41

ILUSTRACIÓN 16: MODELO INTEGRADO DE PROCESOS DE GOBERNANZA Y GESTIÓN DE TI ..................................................... 42

ILUSTRACIÓN 17: NIVEL DE CAPACIDAD DE LOS PROCESOS DE LA EMPRESA IT-EXPERT ......................................................... 113

ILUSTRACIÓN 18: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI – (PROPUESTA) ........................................................... 143

ILUSTRACIÓN 19: PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL – (PROPUESTA) .................................................. 147

ILUSTRACIÓN 20: PROCESO GESTIONAR PORTAFOLIO – (PROPUESTA) ............................................................................. 158

ILUSTRACIÓN 21: PROCESO GESTIONAR LOS RECURSOS HUMANOS – (PROPUESTA) ........................................................... 161

ILUSTRACIÓN 22: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI ................................................................................. 178

ILUSTRACIÓN 23: PROCESO DEFINIR LA ESTRUCTURA ORGANIZATIVA .............................................................................. 188

ILUSTRACIÓN 24: PROCESO MANTENER LOS ELEMENTOS CATALIZADORES........................................................................ 200

ILUSTRACIÓN 25: PROCESO DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI............................................. 206

ILUSTRACIÓN 26: PROCESO COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ....................................................... 212

ILUSTRACIÓN 27: PROCESO GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS ............................................................ 219

ILUSTRACIÓN 28: PROCESO MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..................................... 224

ILUSTRACIÓN 29: ORGANIGRAMA DE IT-EXPERT 2014 IMPLEMENTADO .......................................................................... 227

ILUSTRACIÓN 30: FORMULARIO DE REUNIONES DEL PROYECTO ....................................................................................... 234

ILUSTRACIÓN 31: FORMULARIO DE AVANCE DEL PROYECTO ........................................................................................... 236

ILUSTRACIÓN 32: AVANCE POR PROYECTO ................................................................................................................. 236

ILUSTRACIÓN 33: REUNIONES POR PROYECTO ............................................................................................................. 237

X

ILUSTRACIÓN 34: INFORME EDT .............................................................................................................................. 237

ILUSTRACIÓN 35: INFORME DE REUNIONES ................................................................................................................. 238

ILUSTRACIÓN 36: RESUMEN DE AVANCES SEMÁFOROS .................................................................................................. 239

ILUSTRACIÓN 37: RESUMEN DE AVANCES GRÁFICOS ..................................................................................................... 240

ILUSTRACIÓN 38: RESUMEN DE REUNIONES ................................................................................................................ 240

XI

LISTA DE TABLAS

TABLA 1: DOMINIO DEL PROBLEMA .............................................................................................................................. 4

TABLA 2: PLAN DE GESTIÓN DE TIEMPO (FASES E HITOS DEL PROYECTO) ............................................................................... 6

TABLA 3: ACTIVIDADES SEMANAL / ENTREGABLES............................................................................................................ 7

TABLA 4: ROLES ...................................................................................................................................................... 10

TABLA 5: PLAN DE COMUNICACIONES ......................................................................................................................... 12

TABLA 6: TABLA DE RIESGOS ..................................................................................................................................... 16

TABLA 7: RESPONSABILIDADES E INTERESES DE LAS PARTES INTERESADAS ........................................................................... 47

TABLA 8: MAPEO ENTRE NECESIDADES DE LAS PARTES INTERESADAS Y LAS METAS DE LA EMPRESA .......................................... 52

TABLA 9: MAPEO ENTRE LAS METAS DE LA EMPRESA Y LAS METAS RELACIONADAS CON TI ...................................................... 59

TABLA 10: MAPEO ENTRE LAS METAS RELACIONADAS CON TI Y LOS PROCESOS DEL MODELO DE COBIT 5 ................................ 70

TABLA 11: CALIFICACIÓN DE LA CAPACIDAD ACTUAL DE LOS PROCESOS SELECCIONADOS ...................................................... 111

TABLA 12: LISTA DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .............................................................. 115

TABLA 13: MAPEO PROCESOS APO - OPORTUNIDADES DE MEJORA DE LA EMPRESA IT-EXPERT ........................................... 116

TABLA 14: PRIORIZACIÓN DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .................................................... 118

TABLA 15: CUADRO INTEGRADO DE MEJORA PARA LA EMPRESA IT-EXPERT ....................................................................... 120

TABLA 16: HOJA DE RUTA DEL PROYECTO IMGETI ...................................................................................................... 121

TABLA 17: MAPEO DE COBIT5 VS HERRAMIENTAS ..................................................................................................... 124

TABLA 18: PRODUCTOS DE TRABAJO DEL PROYECTO IMGETI ........................................................................................ 163

TABLA 19: HABILITADORES DE COBIT5 .................................................................................................................... 164

TABLA 20: PRODUCTOS DE TRABAJO Y HABILITADORES ................................................................................................. 164

TABLA 21: MODELO COBIT Y PROCESOS IMPLEMENTADOS .......................................................................................... 165

TABLA 22: EVALUACIÓN DE PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................................. 242

TABLA 23: GESTIÓN DE RIESGOS .............................................................................................................................. 259

TABLA 24: CONDICIONES DEFINIDAS PARA ESCALAS DE IMPACTO DE UN RIESGO SOBRE LOS PRINCIPALES OBJETIVOS DEL PROYECTO

................................................................................................................................................................ 260

TABLA 25: MAPEO ENTRE LOS PROCESOS ACTUALES DE IT-EXPERT Y MODELO DE PROCESOS DE COBIT 5 DEL PRIMER DOMINIO DE

GESTIÓN .................................................................................................................................................... 393

1

INTRODUCCIÓN

El presente documento representa la memoria del proyecto “Implementación de un modelo

de gestión estratégico de TI para la empresa IT-Expert”. Este proyecto tiene como fin la

propuesta de un modelo de gestión para la empresa virtual IT-Expert basado en el primer

dominio de gestión del marco de referencia COBIT 5, así como, su posterior

implementación en la empresa.

La estructura del documento está compuesta por cinco capítulos, los cuales serán explicados

brevemente a continuación. El primer capítulo abarca la descripción del proyecto; es decir,

se plantea el problema y la solución propuesta, se definen los objetivos del proyecto; así

como, el alcance e indicadores de éxito del mismo. Asimismo, se presentan todos los

entregables relacionados a la planificación del proyecto.

El segundo capítulo presenta el marco teórico necesario para la comprensión del desarrollo

del proyecto e interpretación de los resultados del mismo. Se define el enfoque de trabajo a

seguir, y se realiza un análisis de los marcos de referencia y/o estándares internacionales

referenciados en el proyecto.

El tercer capítulo abarca el Estado del Arte del tema del proyecto, en este se resume la

investigación de otros trabajos realizados sobre problemas similares. De los cuales, se

extraen aportes que sirven de ayuda para elegir el mejor modelo de gestión basado en

marcos de referencia y/o estándares internacionales que más se adapte a la situación de la

empresa IT-Expert.

2

El cuarto capítulo se centra en la ejecución del proyecto IMGETI: Implementación de un

modelo de gestión estratégica basado en COBIT 5. Para la empresa IT-Expert solo nos

enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El

proyecto está dividido en dos partes. La primera parte está conformado por las fases de

implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de

implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa

y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de

nivel de capacidad a los procesos, se define el nivel objetivo de los procesos, y se definen las

oportunidades de mejora para finalmente priorizarlas en base a sus niveles de dificultad y

beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases

involucran la creación de un del plan de implementación de las soluciones escogidas en la

fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el

control de los procesos de la empresa IT-Expert que adjuntarán a un cuadro de control y

finalmente se realiza la segunda evaluación de capacidad para validar el éxito alcanzado.

Además se menciona las conclusiones y recomendaciones para la mejora continua de la

empresa.

Por último, el quinto capítulo muestra como se ha trabajado la gestión del proyecto. Se listan

los planes de gestión del tiempo, de los recursos humanos, de las comunicaciones, y de

riesgos. Adicionalmente, se mencionan las lecciones aprendidas durante el desarrollo del

proyecto.

3

DESCRIPCIÓN DEL PROYECTO

En el capítulo 1, se describe el problema que existe en la Gestión de Tecnologías de

Información para la empresa virtual IT-Expert de la Universidad Peruana de Ciencias

Aplicadas, en este caso se basa la justificación del proyecto IMGETI. Se definen los

objetivos del proyecto, así como, el alcance e indicadores de éxito del mismo Asimismo, se

describe la gestión del proyecto para el logro de los objetivos teniendo en cuenta los

indicadores de éxito del proyecto.

4

OBJETO DE ESTUDIO

IT-Expert es una empresa virtual que brinda servicios de TI a las empresas virtuales de la

Universidad Peruana de Ciencias Aplicadas, esta empresa requiere de una gestión de TI que

le permita conseguir sus objetivos estratégicos. El proyecto IMGETI propone un modelo de

gestión de TI basándose en un marco de referencia que le permita tener las metas de TI

alineadas a los objetivos estratégicos de la empresa.

DOMINIO DEL PROBLEMA

Tabla 1: Dominio del problema

Problema Causas

La trazabilidad entre las necesidades

de la alta dirección con los objetivos

de TI no es apreciable

No existe un modelo de gobierno y gestión de

TI en IT-Expert que permita alinear los

objetivos de TI a los objetivos empresariales

Falta de integración entre los

proyectos desarrollados en IT-Expert

No existe una adecuada administración de la

portafolio de proyectos que permita integrar

los proyectos existentes para cumplir con los

objetivos de la empresa

Fuente: Elaboración propia

PLANTEAMIENTO DEL PROBLEMA

Una solución al problema identificado es la implementación de una modelo de gestión

estratégica que nos permita alinear tanto los objetivos estratégicos de la empresa con los

objetivos de TI. Un modelo que permita cubrir las necesidades de los Stakeholders mediante

la tecnología de información. Un modelo que permita tener los procesos con aceptación

externa, que sean medibles, auditable, y estén definidos con las mejores prácticas. Además,

que permita tomar decisiones acertadas y en el momento oportuno.

Gestionar adecuadamente el marco de gestión de TI

5

Una correcta gestión de la arquitectura empresarial que incorpore actividades que relacionen

los objetivos de la parte estratégica con los objetivos de TI

Un manejo adecuado de los portafolios de proyectos

Uso eficiente de los recursos de la empresa para el soporte del portafolio de proyectos

OBJETIVO DEL PROYECTO

Objetivo General

OG: Implementar un modelo de gestión de TI para la alineación, planificación y

organización de los procesos de la empresa IT-Expert bajo el marco de referencia COBIT 5

Objetivos Específicos

OE1: Analizar la situación actual en la que se encuentra la empresa IT-Expert con relación

al primer dominio de gestión de TI según COBIT 5

OE2: Diseñar una arquitectura de procesos que cumpla con las recomendaciones del primer

dominio de la gestión de TI según COBIT 5

OE3: Implementar el modelo de gestión de TI propuesto en la empresa IT-Expert

INDICADORES DE ÉXITO

IE1 – Acta de aceptación de la evaluación de capacidad de los procesos de IT-Expert

aprobado por el cliente

IE2 – Certificado de QS de las definiciones de procesos del modelo propuesto

IE3 – Acta de aceptación de los entregables de la implementación del modelo propuesto

aprobado por el gerente de IT-Expert

IE4 – Acta de aceptación de la gestión del proyecto aprobada por el gerente de IT-Expert

6

PLANIFICACION DEL PROYECTO

Alcance

El presente proyecto tendrá como resultado final la implementación de un modelo de gestión

de TI para la empresa virtual IT-Expert, para lo cual es necesario, en primer lugar, un

análisis de capacidad de la situación actual de la empresa. Posteriormente, se desarrollará

una arquitectura de procesos candidata de los procesos relacionados al alineamiento,

planificación y organización de TI. Asimismo, se evaluaran los proyectos existentes en la

cartera para seleccionar aquellos que ayuden a cumplir los requerimientos de COBIT e

integrarlos a la arquitectura de procesos propuesta. Finalmente, se dará paso de la

implementación de la arquitectura propuesta.

Solo se tomará en cuenta los procesos del primer dominio de Gestión de TI del marco de

trabajo COBIT 5.

Plan de Gestión del Tiempo

Tabla 2: Plan de gestión de tiempo (Fases e hitos del proyecto)

Hito del proyecto Fecha

Estimada Entregables incluidos Prioridad

Project Charter

aprobado por el comité Semana 06

Project Charter Alta

EDT Alta

Grupo de entregables

aprobados Semana 14

Cascada de metas Alta

Modelo de capacidad Alta

Estado del arte

aprobado Semana 15 Estado del arte Alta

Exposición de fin de

ciclo 2014-01

aprobado

Semana 16

Memoria parcial Alta

Estado del arte final Alta

7

Hito del proyecto Fecha

Estimada Entregables incluidos Prioridad

Entregables

certificados por QA

primer paquete

Semana 7 Definición de procesos Alta

Entregables

certificados por QA

segundo paquete

Semana 14 Definición de procesos Alta

Paper científico

aprobado Semana 15 Paper científico Alta

Exposición de fin de

ciclo 2014-01

aprobado

Semana 16

Memoria Final Alta

Paper Científico final Alta


Los entregables son aquellos que están en cursiva

Tabla 3: Actividades semanal / Entregables

Semana Actividades / Entregables

Semana 3

Investigar marco de referencia de COBIT 5

Desarrollar Project Charter

Desarrollar Cronograma

Semana 4

Desarrollar documento Registro de Interesados

Desarrollar documento Gestión de Personal

Desarrollar documento Gestión de Riesgo

8


Desarrollar diccionario EDT

Desarrollar documento Plan Gestión de Alcance

Semana 5

Desarrollar documento Plan Gestión de Calidad

Desarrollar documento Gestión de Comunicaciones

Desarrollar documento Matriz de Comunicaciones

Desarrollar Índice de Memoria

Semana 6

Desarrollar presentación para el comité

Identificar guías de COBIT

Semana 7

Realizar presentación ante el comité

Investigar Guías de consulta de COBIT

Buscar fuentes para el estado del arte

Semana 9

Iniciar Fase 1 de implementación

Definir Cascada de metas

Semana 10 Presentar informes de fuentes del estado del arte

Semana 11

Iniciar Fase 2 de implementación

Definir problemas y oportunidades

Desarrollar Checklist

Redactar parte inicial del estado del arte

Semana 12

Modelo de capacidad

Redactar parte intermedia del estado del arte

9


Semana 13 Iniciar Fase 3 de implementación

Semana 14

Realizar plan de implementación

Redactar parte final del estado del arte

Semana 15

Desarrollar presentación final para el comité

Presentar estado del arte

Semana 16 Realizar presentación final ante el comité


Los horarios de desarrollo del proyecto son los martes y jueves de 4pm a 7pm y en un

horario acordado con los jefes de proyectos el desarrollo del proyecto se realizara los lunes,

miércoles, viernes y sábados.

Los horarios de reuniones con el Cliente profesor serán los miércoles de 5pm a 6pm.

Las reuniones con el Gerente profesor se realizaran los martes en el horario de clases del

curso de taller de proyecto.

Las reuniones tanto con el cliente y el gerente serán los jueves en el horario de clases.

Las reuniones con el alumno de apoyo se realizaran en los horarios de clase de Taller de

Proyecto 1 y se realizaran los acuerdos mediante el correo de la UPC [email protected].

Plan de Gestión de Recursos Humanos

El equipo del proyecto está organizado según el siguiente organigrama, en él estamos

mostrando claramente las líneas de reporte de cada miembro del equipo.

Ilustración 1: Diagrama de equipo

mailto:[email protected]

10

COMITÉ GENERAL

GERENTE PROFESOR (Gerente de IT-Expert)

GERENTE ALUMNO

JEFES DE PROYECTO

CLIENTE PROFESOR

ALUMNO RECURSO

ANALISTA QA


Tabla 4: Roles

Rol Miembro Responsabilidades

Jefe de Proyecto Velásquez Vara,

Carlos Andrés

Supervisar y controlar

la ejecución de las

actividades para que se

cumplan todos los

objetivos del proyecto.

Jefe de Proyecto Juro Pereira, Peter Supervisar y controlar

la ejecución de las

actividades para que se

cumplan todos los

objetivos del proyecto.

Gerente Profesor Rivas Galloso, Paul Brindar apoyo y

asesoría durante el

11


Harry desarrollo del

proyecto.

Cliente Profesor Rosas Acevedo, Vania Brindar la información

necesaria e Indicar los

requerimientos

necesarios para

cumplir con el objetivo

principal del proyecto

y la aprobación de los

entregables del

proyecto.

Gerente Alumno Karen Panduro Controlar y supervisar

el avance eficaz de los

proyectos y mantener

informado a los

alumnos de Taller de

Proyectos informados

de las actividades de la

empresa IT-Expert.

Analista QA Alumno Analista Verificar y Validar la

calidad de los

entregables del

proyecto.

Alumno Recurso Erick Merino Brindar apoyo en las

actividades referentes

del proyecto

12


Comité General Rosario Villalta,

Jimmy Armas, Carlos

Raymundo

Evaluar el proyecto

bajo los estándares

establecidos por la

Carrera de Ingeniería

de Sistemas de la

Universidad Peruana

de Ciencias Aplicadas.


Plan de Comunicaciones

Detalle del plan de comunicación con información requerida, descripción, encargado,

destino, canal y periodo de entrega:

Tabla 5: Plan de Comunicaciones

Información

requerida Descripción Encargado

Para su entrega a

los Stakeholders Canal Periodo

Acta de

Reunión

Cliente

Profesor

El acta de

reunión

contiene los

requerimientos

del cliente

para el

desarrollo del

proyecto

IMGETI,

mediante:

Peter Juro

Pereira –

Carlos

Velásquez

Vara

Cliente Profesor Reunión Semanal

13

Información


Para su entrega a


-Temas a

tratar sobre el

proyecto y

avances

-Acuerdos en

con el cliente

-Tareas de la

semana

EDT

Es un

documento

similar al

Cronograma

de Actividades

en el que se

listan las

actividades

que se tienen

planeadas y su

cumplimiento.

Peter Juro

Pereira –

Carlos

Velásquez

Vara

Gerente Alumno –

Gerente Profesor

Sincronización

Documentos

compartidos

Semanal

Asignación

de

Actividades

Mensaje

mediante el

cual se le

dejan

asignadas

actividades de

apoyo al

Alumno

Peter Juro

Pereira –

Carlos

Velásquez

Vara

Alumno Recurso Correo

Calendar Semanal

14

Información


Para su entrega a


Recurso

Acta de

Reunión

Gerente

Profesor

El acta de

reunión

contiene los

las consultas y

aclaraciones

en temas

relacionados

al proyecto

IMGETI,

mediante: Peter Juro

Pereira –

Carlos

Velásquez

Vara

Gerente Profesor Reunión - Semanal

-Temas a

tratar sobre el

proyecto y

avances

- Acuerdos en

con el cliente

-Tareas de la

semana

15

Información


Para su entrega a


Acta de

Reunión

Gerente

Profesor y

Cliente

El acta de

reunión los

acuerdos entre

Gerente

profesor y

Cliente

profesor para

llevar un

control

adecuado del

desarrollo del

proyecto

IMGETI tanto

para el Cliente

profesor como

para el

Gerente

Profesor,

mediante:

Peter Juro

Pereira –

Carlos

Velásquez

Vara

Cliente Profesor Reunión - Semanal

-Temas a

tratar sobre el

proyecto y

avances

-Acuerdos en

con el cliente

-Tareas de la

semana


16

Plan de Gestión de Riesgos

Entre los posibles riesgos que pueden peligrar el proyecto son los siguientes:

Tabla 6: Tabla de Riesgos

# Riesgo Probabilidad Impacto Estrategia de mitigación

1 Disponibilidad

horaria del

profesor

cliente.

Probable Alto Comunicación constante con el

cliente. Así como, la

reprogramación de nuevas

reuniones para subsanar

reuniones canceladas.

2 Incumplimient

o de

actividades por

parte del

recurso alumno

asignado

Improbable Medio Mantener una comunicación

constante con nuestro recurso

alumno. Acordar la posibilidad

de solicitar la ayuda de otro

recurso alumno si el asignado no

puede cumplir con sus

actividades ya sea por motivos

de salud o personales.

3 Cambio de

Gerencia en

IT-Expert

Improbable Alto Tomar en consideración los

objetivos a largo plazo.

Implementar la gestión del

cambio para abordar los posibles

cambios de los objetivos de la

empresa.

4 Subestimación

del tiempo de

desarrollo de

los artefactos

Probable Medio Dejar una holgura de tiempo

para las actividades relacionadas

al desarrollo de entregables en el

cronograma.


18

MARCO TEORICO

El segundo capítulo trata acerca del marco teórico que sirve como conocimiento base para el

entendimiento de los conceptos que son usados durante el desarrollo del proyecto. Estos

hacen referencia al marco que se está utilizando en este proyecto COBIT5. También

contiene el enfoque de trabajo a seguir en el proyecto.

19

CONCEPTO

Para poder comprender más a fondo el proyecto IMGETI (Implementación de un Modelo de

Gestión Estratégica de TI para la Empresa IT-Expert), tenemos que entender varios factores

relacionados con el tema del proyecto. El marco teórico permitirá tener una vista general de

propósito de IMGETI, en un comienzo se analizaran conceptos generales relacionados con

el tema del proyecto, también se mostrara la importancia del proyecto para la empresa IT-

Expert y finalmente se profundizara en el marco de referencia más adecuado para cumplir

los objetivos del proyecto.

Un modelo de gestión estratégica es un conjunto de reglas o referencias que ayudan a

gestionar y administrar adecuadamente una empresa con un enfoque estratégico. El modelo

propone uno o más planes de gestión que ayuden a cumplir los objetivos que se tienen y las

decisiones que se tomen por parte del gobierno de la empresa.

La información es uno de los recursos con más valor en la empresa, pues es el conocimiento

útil que se utilizará para cumplir los objetivos de las partes interesadas. Manejar la

información precisa y de forma adecuada que ayudará a tomar las decisiones acertadas ante

los retos que se presenten en el día a día de una empresa. Además, en la actualidad se cuenta

con el conjunto de conocimientos técnicos y científicos que ayudan a manejar la

información de forma eficiente, ahorrando recursos y facilitando el uso de la información,

estos conocimientos en conjunto son la Tecnología de Información (TI).

Por lo tanto, podemos concluir que un modelo de gestión estratégico de TI es el

alineamiento de las estrategias de TI con las estrategias de la empresa, en este caso la

empresa IT-Expert. La empresa IT-Expert, cuya misión es “aplicar los estándares de calidad

internaciones a los procesos involucrados en la prestación de servicios y desarrollo de

proyectos de TI”, no presenta integración en los proyectos que están vinculadas con el

objetivo principal de IT-Expert. Esto es debido a que no se alinean a un modelo de gestión y

no existe una integración de la información entre los proyectos. Implementando un plan de

gestión estratégica de TI se promueve el crecimiento sostenible en la gestión de TI pues

mantendrían alineados los objetivos de la empresa con lo de TI lo que brinda una un

conjunto de referencias en la gestión de los procesos más importantes. Asimismo se

gestionaría eficientemente los servicios que se brinden, pues se tiene un control de completo

de estos servicios.

20

Ilustración 2: Principios de Cobit 5

Bajo esta necesidad la herramienta se mencionara la herramienta idónea para implementar el

proyecto COBIT 5 y para gestionarlo PMBOK.

ENFOQUES DE TRABAJO

Primera fase

Se utilizará el FrameWork COBIT versión 5

Se utilizara PMBOK como guía de referencia para la dirección de proyectos para la

adecuada gestión del proyecto.

Segunda fase

Se utilizará la metodología EUP para el desarrollo de la arquitectura de procesos.

La notación para modelar los procesos de negocio elegido es BPMN.

ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES

INTERNACIONALES

COBIT 5

COBIT 5 proporciona un marco de referencia para ayudar a las organizaciones a alcanzar

sus objetivos a partir de un buen gobierno y una gestión de TI. En pocas palabras, ayuda a

las empresas a crear valor optimo manteniendo un equilibrio entre la obtención de beneficios

y la optimización de los niveles de riesgos y el uso de los recursos.

21

Fuente: ISACA 2014

En la ilustración se muestran los 5 principios en los que se basa COBIT 5. Cada

organización opera en un contexto diferente que este determinado por factores externos (el

mercado, la industria, la geopolítica, etc.) y factores internos (la cultura, la organización, el

apetito de riesgo, etc.), esto requiere una medida de gobierno y gestión de sistemas. Las

necesidades de los Stakeholders tienen que ser transformadas en una estrategia a ejecutarse

en la organización.

Ilustración 3: Cascada de metas

22

Fuente: ISACA 2014

COBIT 5 propone las metas en cascada como el mecanismo para traducir las necesidades de

los interesados (Stakeholders) en las metas específicas del negocio, acciones concretas y

personalizadas, los objetivos relacionados con II y los objetivos de los facilitadores. Esta

traducci6n permite establecer objetivos específicos en todos los niveles y en todas las áreas

de la empresa en apoyo a los objetivos generales y requisitos de los Stakeholders y por lo

tanto apoya efectivamente la alineación entre las necesidades empresariales y soluciones de

TI y servicios. En la figura 15 se ilustran las metas en cascada de COBIT.

Primer dominio de gestión de Cobit 5

El dominio APO de COBIT 5 explica los procesos necesarios para la planificación y

organización eficaces de los recursos TI internos y externos, incluyendo la planificación

estratégica, planificación de la tecnología y la arquitectura, planificación organizativa,

planificación de la innovación, gestión de la cartera, gestión de la inversión, gestión del

riesgo, gestión de las relaciones y gestión de la calidad.

Ilustración 4: Procesos del primer dominio estratégico de Cobit 5 (APO)

Fuente: ISACA 2014

Gestionar el Marco de Gestión de TI: Aclarar y mantener el gobierno de la misión y la

visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión

de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en

consonancia con las políticas y los principios rectores.

23

Gestionar la Estrategia: Proporcionar una visión holística del negocio actual y del entorno

de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado.

Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los

servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil,

confiable y eficiente a los objetivos estratégicos.

Gestionar la Arquitectura Empresarial: Establecer una arquitectura común compuesta por

los procesos de negocio, la información, los datos, las aplicaciones y las capas de la

arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de

la empresa y de TI mediante la creación de modelos clave y prácticas que describan las

líneas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las

normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar

un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la

calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales

como la reutilización de bloques de componentes para los procesos de construcción.

Gestionar la Innovación: Mantener un conocimiento de la tecnología de la información y las

tendencias relacionadas con el servicio, identificar las oportunidades de innovación y

planificar la manera de beneficiarse de la innovación en relación con las necesidades del

negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora

puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas

por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos

empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la

arquitectura de empresa.

Gestionar Portafolio: Ejecutar el conjunto de direcciones estratégicas para la inversión

alineada con la visión de la arquitectura empresarial, las características deseadas de

inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de

inversión y recursos y las restricciones de financiación. Evaluar, priorizar y equilibrar

programas y servicios, gestionar la demanda con los recursos y restricciones de fondos,

basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo

corporativo. Mover los programas seleccionados al portafolio de servicios activos listos

para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y

programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de

programas y servicios o al cambio en las prioridades corporativas.

24

Gestionar los Recursos Humanos: Proporcionar un enfoque estructurado para garantizar una

óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos

humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la

formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de

gente competente y motivada.

Gestionar las Relaciones: Gestionar las relaciones entre el negocio y TI de modo formal y

transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales

exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y

los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles,

lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones

claves.

Gestionar los Acuerdos de Servicio: Alinear los servicios basados en TI y los niveles de

servicio con las necesidades y expectativas de la empresa, incluyendo identificación,

especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de

servicio e indicadores de rendimiento.

Gestionar los Proveedores: Administrar todos los servicios de TI prestados por todo tipo de

proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los

proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y

supervisión del desempeño, para una eficacia y cumplimiento adecuados.

Gestionar la Calidad: Definir y comunicar los requisitos de calidad en todos los procesos,

procedimientos y resultados relacionados de la organización, incluyendo controles,

vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y

esfuerzos de eficiencia.

Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma

continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la

empresa.

Gestionar la Seguridad: Definir, operar y supervisar un sistema para la gestión de la

seguridad de la información.

25

Modelo de evaluación de procesos PAMP

El PAM de COBIT 5 es compatible con la norma ISO/IEC 155041 y se puede utilizar como

base para la realización de una evaluación de la capacidad de cada uno de los procesos de

COBIT 5. El modelo está basado en la evidencia para permitir una forma fiable, consistente

y repetible para evaluar las capacidades de los procesos de TI.

Proporciona indicadores para orientar la interpretación del propósito del proceso y los

resultados esperados tal como se define en COBIT 5 y los atributos de proceso definidos en

la norma ISO/IEC 15504-2.

El PAM proporciona una vista en dos dimensiones:

Dimensión del proceso: El Modelo de Referencia de Procesos (PRM) de COBIT 5 está

compuesto de 37 procesos que describen el ciclo de vida para el Gobierno y la Gestión de

las TI de la Empresa.

Dimensión de la capacidad: La dimensión de capacidad proporciona una medida de la

capacidad de un proceso para cumplir con los objetivos de negocio actuales o futuros de una

empresa para el proceso.

La capacidad del proceso es expresada en términos de Atributos de Proceso (PA) agrupados

en niveles de capacidad. El nivel de capacidad de un proceso es determinado con base a la

consecución de los PA específicos de acuerdo con la norma ISO/IEC 15504-2.

Ilustración 5: Nivel de capacidad

1 La ISO/IEC 15504, es una norma internacional para establecer y mejorar la capacidad y

madurez de los procesos de las organizaciones en la adquisición, suministro, desarrollo,

operación, evolución y soporte de productos y servicios. Cfr. ISO 2014

26

Fuente: ISACA 2014

Los niveles de capacidad definidos son los siguientes:

Nivel 0 Incompleto: El proceso no está implementado o no alcanza su propósito. A este

nivel, hay muy poca o ninguna evidencia de algún logro sistemático del propósito del

proceso.

Nivel 1 Ejecutado: El proceso implementado alcanza su propósito.

Nivel 2: Gestionado: El proceso ejecutado está implementado de forma gestionada y los

resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente.

Nivel 3 Establecido: El proceso gestionado ahora está implementado usando un proceso

definido que es capaz de alcanzar sus resultados de proceso.

Nivel 4 Predecible: El proceso establecido ahora se ejecuta dentro de límites definidos para

alcanzar sus resultados de proceso.

Nivel 5 Optimizado: El proceso predecible es mejorado de forma continua para cumplir con

las metas empresariales presentes y futuras.

El PAM también establece una escala de calificación para evaluar cada atributo de proceso,

la cual se muestra a continuación.

27

Ilustración 6: Escala de calificación

Fuente: ISACA 2014

N (No Alcanzado): Hay muy poca o ninguna evidencia de que se alcanza el atributo definido

en el proceso de evaluación.

P (Parcialmente Alcanzado): Hay alguna evidencia de aproximación a, y algún logro del

atributo definido en el proceso evaluado. Algunos aspectos del logro del atributo pueden ser

impredecibles.

L (Ampliamente Alcanzado): Hay evidencias de un enfoque sistemático y de un logro

significativo del atributo definido en el proceso evaluado. Pueden encontrarse algunas

debilidades relacionadas con el atributo en el proceso evaluado.

F (Completamente Alcanzado): Existe evidencia de un completo y sistemático enfoque y un

logro completo del atributo definido en el proceso evaluado. No existen debilidades

significativas relacionadas con el atributo en el proceso evaluado.

28

ESTADO DEL ARTE

El contenido del capítulo tres tiene la información que se obtuvo a partir de la investigación

de artículos científicos que abordaron diferentes proyectos del tópico modelo. Se extrae el

aporte de cinco artículos científicos sobre el modelo de gestión de TI para la gestión de una

universidad, una empresa petrolera, el uso de portafolios de proyectos, industria editorial y

administración electrónica. Asimismo, se muestran las técnicas usadas y el manejo de los

distintos recursos para la investigación realizada en los diferentes proyectos como: Modelos

basados en estándares, Marcos de referencias, Modelos de Gestión Rediseñados, Estándares,

entre otros.

29

ESTADO DEL ARTE

Revisión de la literatura

El Gobierno de TI define la estructura de relaciones y procesos para dirigir y controlar la

empresa hacia el logro de sus objetivos estratégicos agregando valor al mismo tiempo que se

logra un balance entre el riesgo, el retorno de la inversión en TI, y la efectividad de sus

procesos.

El gobierno o gobernanza de TI como también se conoce, motivado a cumplir los objetivos

de TI (alineados con el negocio y con el gobierno corporativo), ejerce un control permanente

sobre los procesos de TI, clasificados en las siguientes categorías: Evaluar, dirigir y

monitorear, Alinear, planear y organizar, Construir, adquirir e implementar, Entregar, servir

y dar soporte, monitorear, evaluar y valorar, de acuerdo con el marco de referencia COBIT

5.

COBIT 5 es un marco de referencia de Gobierno de TI y un conjunto de herramientas de

soporte que permite a los gerentes reducir la brecha entre los requerimientos de control, los

temas técnicos y los riesgos del negocio. Además, permite el desarrollo de una política clara

y una buena práctica para el control de TI en las organizaciones. El marco acentúa el

cumplimiento regulatorio, ayuda a las organizaciones a incrementar el valor asociado al área

de TI, habilita la alineación y simplifica la puesta en práctica del marco de referencia2.

Otro marco de referencia que aborda esta temática es el modelo de gobierno de IT Calder-

Moir, el cual suministra lineamientos para la Arquitectura Empresarial. Asimismo,

proporciona un enfoque holístico para el diseño, planificación, implementación y gobierno

de una arquitectura empresarial de información. Los estándares y el cumplimiento de estos,

aseguran que las tecnologías de información de la organización apoyan y facilitan el logro

de sus estrategias y objetivos. Más que un marco es una colección de los diferentes marcos

de gobierno como COBIT, BSC3, COSO

4, ITIL

5 entre otros. Calder-Moir orquesta los

2 Cfr. Saavedra Torres 2012:25

3 El Cuadro de Mando Integral traduce la estrategia y la misión de una organización en un

amplio conjunto de medidas de actuación, que proporcionan la estructura necesaria para un

sistema de gestión y medición estratégica. Cfr. Bertolino y otros 2002:4

30

marcos guiando los procesos de extremo a extremo6. En el siguiente gráfico, se muestran los

segmentos del marco Calder-moir.

Ilustración 7: Segmentos del marco de Calder-moir

Fuente: Saavedra-Torres, Adaptado IT Governance ©2006-2008 S T W Moir

Otro modelo que se encuentra en la literatura es el aplicado en el proyecto del Diseño de un

modelo de gestión de seguridad de la información del sistema ERP de EP

PETROECUADOR que se basa en adaptar COBIT 5 según las metas corporativas del

sistema mencionado. En este estudio se aplica la metodología MAGERIT7, la cual es

utilizada para la gestión de riesgo dentro del modelo. MAGERIT se basa en el estándar ISO

4 El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es una

iniciativa conjunta de las cinco organizaciones del sector privado que figuran a la izquierda

y se dedica a proporcionar el liderazgo de pensamiento a través de la elaboración de marcos

y orientación sobre la gestión del riesgo empresarial, el control interno y la disuasión del

fraude. Cfr. COSO:2014

5 Biblioteca de la Infraestructura de Tecnología de la Información (ITIL), que está formada

por una serie de “Mejores Prácticas” procedentes de todo tipo de suministradores de

servicios de TI. Cfr. ITIL:2014

6 Cfr. Saavedra y Torres 2012:33

7 MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

31

3100008, por lo que es totalmente compatible con COBIT 5. Además, su uso es de acceso

libre y toda la documentación está disponible en varios idiomas (español, inglés e italiano).

Además, este modelo también implementa las buenas prácticas descritas en la

ISO/IEC27002. Este estándar establece los lineamientos y principios generales para iniciar,

implementar, mantener y mejorar la gestión de seguridad de la información en una

organización. Adicionalmente, contiene las mejores prácticas de los objetivos de control y

controles en las siguientes áreas de gestión de seguridad de la información (La política de

seguridad, Organización de la seguridad de la información, Gestión de activos, La seguridad

de los recursos humanos, Física y la seguridad del medio ambiente, Las comunicaciones y la

gestión de las operaciones, Control de acceso, Adquisición de sistemas de información,

desarrollo y mantenimiento, Gestión de incidentes de seguridad de la información, Gestión

de la continuidad del negocio, Cumplimiento)9.

Entre los estándares más usados actualmente que tienen como objeto de estudio el gobierno

de TI, el que más destaca es la ISO 38500. Esta incluye un conjunto de definiciones

relacionadas con el Gobierno de las TI que sirven como vocabulario común para todos

aquellos que conozcan e implementen este estándar. Además, propone un marco de

referencia para el gobierno de las TI basado en los siguientes seis principios:

Responsabilidad, estrategia, adquisición, Desempeño, Cumplimiento y Componente

Humano; y el siguiente modelo de gobierno de TI.

Ilustración 8: Modelo de Gobierno de las TI de la norma ISO 38500

8 Principios y lineamientos, proporciona principios, el marco y un proceso para la gestión

del riesgo. Puede ser utilizado por cualquier organización independientemente de su tamaño,

actividad o sector. El uso de ISO 31000 puede ayudar a las organizaciones a aumentar la

probabilidad de alcanzar los objetivos, mejorar la identificación de oportunidades y

amenazas y efectivamente asignan y utilizan los recursos para el tratamiento de riesgos. Cfr.

ISO 2014

9 Cfr. ISO 2014

32

Fuente: Fernández 2011

En el desarrollo de Modelo de Procesos Integrado de Gobernanza y Gestión de TI propuesto

por Carrillo y Rubio, hace referencia al modelo de Leavitt. Este modelo presenta cuatro

elementos de un sistema de negocio como la claves para abordar de forma correcta la

gestión y optimización de TI en las empresas10

.

Ilustración 9: Modelo de Leavitt

Fuente: Carrillo y Rubio 2012

Igualmente, se menciona CMMI (CapabilityMaturityModelIntegration) como un método

para medir el grado de madurez de las organizaciones. El objetivo de CMMI es establecer

10

Cfr. Carrillo y Rubio 2012:29,30

33

una guía que permita a las organizaciones mejorar sus procesos y su habilidad para

organizar, desarrollar, adquirir y mantener productos y servicios informáticos. En CMMI se

diferencian actualmente tres modelos que comparten un núcleo común. Además, CMMI

define áreas de proceso que se agrupan en cuatro categorías, tres comunes a todos los

modelos y una diferente para cada modelo: Gestión de procesos (común), Gestión de

proyectos (común), Soporte (común) e Ingeniería (sólo en DEV). En la siguiente figura se

presenta la estructura de CMMI que incluye los tres modelos y áreas de proceso

mencionados anteriormente, así como los procesos que los conforman11

.

Ilustración 10: Estructura CMMI


Cabe mencionar que en la búsqueda de evidencia de que un activo estratégico y proporciona

un valor añadido a los negocios de la empresa, se establecen actividades de gobierno que

incluyen mecanismos que buscan la alineación de TI con los objetivos en el contexto de la

actividad empresarial. Uno de los mecanismos habituales para mejorar la alineación entre la

junta (gobernadores de TI), las unidades de negocio (proyectos de TI solicitantes) y el

personal de TI (IT adquirentes o desarrolladores) es a través de un proceso de aprobación de

la Cartera de Proyectos transparente. Entre otros beneficios, este proceso debería permitir a

las empresas a comunicar esta alineación entre los objetivos y proyectos de forma eficaz, la

creación de un mayor valor de los activos de TI. Estos mecanismos muestran cómo estas

11

Cfr. Carrillo y Rubio 2012:36,37

34

estructuras se relacionan en el gobierno de TI y ofrecer una oportunidad para mejorar la

comunicación entre los gobernadores (miembros del consejo) y el resto de los partícipes de

la empresa12

.

Saavedra y Torres (2012) proponen un Modelo Genérico de Gobierno y Gestión de TI, que

ayude a las organizaciones del sector editorial a definir los procesos de TI en los que debe

focalizar sus esfuerzos. Para esto, como punto de partida se toma la matriz de necesidades de

los interesados (Stakeholders) y la técnica de la cascada de COBIT 5, encuestas para

determinar la brecha entre el estado actual y el deseado, y herramientas estadísticas para

filtrar y priorizar.

Mera (2014) diseña un modelo de gestión de seguridad de la información para el sistema

ERP, basado en el marco de trabajo COBIT 5 y la norma ISO/IEC 27002, que optimiza los

procesos empresariales implementados y obtiene el mayor beneficio de la plataforma

tecnológica adquirida. La caracterización del modelo se realizó identificando la información

crítica del sistema y sus amenazas mediante la metodología de análisis de riesgo MAGERIT.

Fernández (2011) propone el diseñado y valida un marco de referencia de Gobierno de las

TI para Universidades (GTI4U). Este marco se basa y respeta por completo al modelo de

gobierno TI propuesto por la norma ISO 38500. Pero a la vez, proporciona una serie de

herramientas para que sea fácilmente implementado en un entorno universitario.

Debido a que la Tecnología de información es un factor que estratégico en el gobierno de las

empresas, Carillo y Rubio (2012) afirman que Por esta razón, las empresas se tienen que

hacerse de una estructura de gestión de la información que les permita el alineamiento de TI

con la estrategia de negocio, el logro de beneficios, reducción de costes, el control de riesgos

y en general la mejora de las operaciones de TI. En este escenario, se introduce el concepto

de Gobernanza de TI, responsable de integrar e institucionalizar las buenas prácticas para

garantizar que la TI en las empresas soporte los objetivos del negocio y aproveche al

máximo su información, maximice los beneficios, capitalice las oportunidades y gane

ventajas competitivas.

Barceló et al (2012) demuestra que los tres mecanismos de gobernanza de TI: alineación,

comunicación y estructuras, cuando se utilizan correctamente, son medios insustituibles para

12

Cfr. Barceló y otros 2012:71

35

producir el valor que el consejo espera de TI. También representamos parte de nuestro

marco de gobierno de TI que utiliza estos tres mecanismos, con especial referencia a la

alineación del negocio / TI.

Modelos de gestión y gobierno de TI

Modelo de Gobierno de TI como apoyo al proceso de transformación digital en

empresas de la industria editorial.

Uno de los aportes más importantes de esta propuesta es la definición de la brecha

estratégica de la industria editorial, que permite establecer las prioridades en las cuales el

sector debe concentrar todos sus esfuerzos para afrontar el proceso de transformación digital

que vive en la actualidad. Las encuestas realizadas matizan esta propuesta con las

necesidades propias del sector en su situación estratégica actual y con el estado estratégico

deseado, que para los encuestados, es el escenario ideal para asumir de forma exitosa el

proceso de transformación.

Como resultado de esta combinación se obtiene un listado de objetivos estratégicos del

negocio que son el insumo inicial para el inicio de la técnica de la cascada propuesta por

COBIT 5, y que al final conduce a la obtención de los procesos de TI priorizados y filtrados.

Ilustración 11: Modelo de Gobierno de TI para la industria Editorial

36

Fuente: Saavedra y Torres 2012

En la gráfica se ilustra cómo se aborda un problema resultado de la situación que afronta

actualmente un sector de la economía mundial, utilizando la técnica de la cascada de COBIT

5, que parte del conocimiento de la planeación estratégica corporativa o El “Balanced Score

Card” del negocio.

Al no obtener con facilidad información estratégica del sector, se realizan las encuestas de

estado actual y estado deseado, que después de tabular y procesar sus respuestas, dan como

resultado la brecha estratégica de la industria, representada en los objetivos estratégicos

genéricos, insumo necesario para obtener las metas de TI y los procesos de TI. Estos últimos

son insumo para el componente de Gestión de TI del proyecto M3GTI.

La metodología propuesta para la obtención de los Procesos de TI, se basa en la técnica de la

cascada de COBIT 5 y apoyada en la estadística para priorizar y filtrar los elementos en cada

paso del proceso. En esta sección se muestran los resultados obtenidos después de aplicar la

propuesta de este trabajo.

37

Para relacionar las metas de TI con los procesos definidos de COBIT utiliza el método de

despliegue de función de calidad QDF13

.

Modelo de gestión de seguridad de la información del sistema ERP de EP

PETROECUADOR de acuerdo a norma ISO/IEC 27002 y COBIT 5

La caracterización de este modelo se realizó mediante una investigación descriptiva del

estado del arte de la S-I en EP PETROECUADOR, utilizando técnicas documentales que

permitieron recopilar y analizar temas relacionados con la normativa de procesos, informes

de hacking ético, consultorías, estructura organizacional y análisis de riesgo del sistema

ERP; para definir una línea base sobre la cual es establezca un modelo de gestión de S-I

completo y personalizado. La priorización y simplificación del modelo basado en COBIT 5

e ISO/IEC 27002, se realizó utilizando las metas corporativas que la empresa planteó con la

implementación del sistema ERP como proyecto estratégico, de esta manera se logró que las

metas de TI soporten las metas corporativas y los intereses de las partes interesadas,

evitando elaborar marcos desenfocados o demasiado extensos.

Los resultados obtenidos en esta investigación revelan, un marco de gestión incompleto,

nivel de riesgo alto de la plataforma tecnológica de EP PETROECUADOR, así como

riesgos importantes relacionados sobre todo con amenazas internas. En el ámbito de la

propuesta del modelo de gestión se verificó la necesidad del involucramiento de la alta

gerencia en todas las iniciativas empresariales relacionadas con la S-I, así como se

determinó la importancia de un modelo de gestión de S-I, como complemento clave de un

proyecto estratégico, que contemple no solo aspectos técnicos sino también estructurales, de

cultura organizacional, comportamiento y habilidades del personal involucrado14

.

13

QFD es una metodología de gestión de la calidad que sirve especialmente para identificar

y priorizar las necesidades de los clientes. La metodología propone una técnica en la que

transfiere lo “que desean los clientes” a los “como se pueden satisfacer”, valorando el grado

de correlación entre los deseos del cliente (QUE) y las acciones para satisfacerlos (COMO).

Cfr. Saavedra y Torres 2012:39

14 Cfr. Mera 2012:2

38

Se usaron sistemas ERP para la solución en la integración de las diferentes áreas y

automatización de los proceso de la empresa. Además, este sistema facilito la recolección y

poner la información actualizada del estado y actividades de los departamentos de una

empresa a disposición de los usuarios del sistema15

.

Para esto se usa la en conjunto el marco de referencia COBIT 5, ISO/IEC 27002 y la

metodología MAGERIT. Para el modelo de gestión de seguridad de la información fue

caracterizado utilizando los 7 catalizadores y la cascada de metas definidos en el marco

COBIT 5. Este enfoque permite simplificar el marco principal utilizando las metas

corporativas del sistema ERP de EP PETROECUADOR como punto de partida; para luego

traducir estas metas a metas de TI, las cuales, en el mismo sentido, se soportan en las metas

de cada uno de los catalizadores16

. En conjunto con cada catalizador se usó la ISO 20072,

concentrándose principalmente en los siguientes dominios:

Política de seguridad

Gestión de comunicaciones y operaciones

Adquisición, desarrollo y mantenimiento de sistemas de información

Posteriormente se usó la metodología MAGERIT para el análisis de riesgos, a continuación

se muestra el marco de gestión de riesgos en la ilustración.

Ilustración 12: MAGERIT y el marco de gestión de riesgos ISO 31000 (Dirección General

de Modernización Administrativa, Procedimientos e Impulso de la Administración

Electrónica, 2012)

15

Cfr. Mera 2012:3

16 Cfr. Mera 2012:7

39

Fuente: Mera 2012

Modelo de Gobierno de las TI GTI4U para Universidades basado en la ISO 38500

El modelo GTI4U que Fernández diseño está compuesto por tres niveles:

El primer nivel incluye todos los elementos de la norma ISO 38500: modelo de gobierno TI,

principios, buenas prácticas y diccionario de términos.

El segundo está compuesto por un Modelo de Madurez (MM) para cada principio, que se

utilizará para establecer en qué nivel de madurez de gobierno de las TI se encuentra cada

universidad.

El tercero incluye a los indicadores que van servir para medir hasta qué punto se satisfacen

los criterios presentados en la norma17

.

Ilustración 13: Motivos por los que se decide implantar un sistema del gobierno de las TI en

una universidad

17

Cfr. Fernández 2011:148

40


Primer Nivel: En cuanto a la guía ISO 38500 se utilizan las guías de buen gobierno de la TI.

Las recomendaciones se describen de alto nivel y sólo son un punto de partida para los

responsables de las TI que deben completar estas guías al implementarse, identificando

cuales son las acciones específicas necesarias para alcanzar los principios, teniendo en

cuenta la naturaleza especial de cada organización y realizando un análisis exhaustivo de las

oportunidades y riesgos asociados con el uso de un recurso tecnológico concreto.

Esta norma, ISO 38500, muestra una guía para el buen gobierno con cada uno de sus

principios. Esta guía se define en base a las acciones de gobierno que se recomiendan por la

norma ISO 38500. Se presenta, manera de ejemplo, la guía que se propone por Fernández

para el principio de responsabilidad18

.

Ilustración 14: Guía de buen gobierno de las TI para el principio de Responsabilidad


18

Cfr. Fernández 2011:150

41

Segundo Nivel: Se busca un modelo de madurez que cubra las necesidades del negocio. Y se

utilizan los modelos de madurez más importantes relacionados con las TI, en estos está

incluido COBIT por el IT Governance Institute (ITGI)19

.

Este modelo de madurez (MM) establece los niveles de madures del modelo, y es útil para

establecer un nivel actual y uno deseado mediante la autoevaluación, cada nivel describe los

requisitos relacionados con las tres acciones de gobierno (Evaluar, Dirigir y Monitorizar).

Ilustración 15: Tipos de indicadores incluidos en el GTI4U


Tercer Nivel: El tercer nivel Fernández afirma que el GTI4U está compuesto por un

conjunto de indicadores que tienen por objetivo medir si se están llevando a cabo

satisfactoriamente las buenas prácticas recomendadas para el gobierno de las TI.

Cada uno de los principios de la norma ISO 38500 incluidos en el GTI4U será evaluado a

partir de un conjunto de indicadores Agrupados en tres tipos diferentes (Figura 10.6):

19

GEIT es un Instituto de gobernanza de tecnología de información eficaz que ayuda a asegurar que TI soporte las metas

del negocio, optimice la inversión del negocio en TI, y gestiona adecuadamente los riesgos y oportunidades relacionados

con IT. Cfr. ITGI:2014

42

Las Cuestiones de Madurez (CM) son preguntas diseñadas con el objetivo de situar

automáticamente a la organización en el nivel que le corresponde dentro del Modelo de

Madurez de Gobierno TI de cada principio.

Los Indicadores de Evidencia de Gobierno (IEG) se refieren a buenas prácticas que deben

estar presentes en la organización para mejorar su madurez de gobierno de las TI.

Del mismo modo, los Indicadores Cuantitativos de Gobierno (ICG) son evidencias, pero

expresadas con valores absolutos, de cuál es el estado de madurez de algunos aspectos del

gobierno de las TI de la organización.

Modelo de Procesos Integrado de Gobernanza y Gestión de TI

El modelo propuesto de Procesos de Gobernanza y Gestión de la Tecnología de Información

por Carillo y Rubio está estructurado en tres niveles y en 9 áreas como se observa en la

siguiente figura:

Ilustración 16: Modelo Integrado de Procesos de Gobernanza y Gestión de TI

43


Este modelo es implantado tiene en cuenta los siguientes aspectos:

Primero las restricciones impuestas por el negocio en cuanto a principios y políticas de la

organización, la estructura organizativa, los recursos y la cultura de la empresa.

Segundo al analizar en qué estado se encuentra la organización y a dónde quiere llegar, es

decir tener clara su misión, su visión, sus objetivos, conocer y entender qué problemas

enfrenta su organización en la gestión de la tecnología de información (sería bueno que los

listara) e identificar que oportunidades le ofrece este modelo para mejorar sus procesos, y

hacer un rediseño de los mismos (o en caso de que no estén definidos una guía para

establecerlos).

Tercero, es un problema de organización corporativa que va a afectar a todo el negocio, por

lo cual, el máximo órgano de gobierno debe estar totalmente involucrado en la supervisión

de la nueva estrategia y comunicar lo que se pretende con el modelo para lograr la

colaboración y participación de todo el personal de la compañía afectado.

Por ser este un modelo orientado a procesos, que reúne los procesos clave de gobernanza y

gestión de TI tomando estándares internacionales.

Negocios / Proyectos de TI de alineación a través del proceso de aprobación del

portafolio de proyectos de TI como Instrumento de Gobierno

En el marco de gobierno de TI propuesto por Barceló se basa en el estándar ISO / IEC

38500. Esta norma general, se compone de dos capas, la gobernanza y la gestión,

respectivamente. Esto se ha ampliado con dos capas adicionales, estrategia corporativa y

operación de la línea. Cada capa en el marco representa acciones esenciales realizadas por

sus principales grupos de interés. La transición entre las capas se realiza a través de

diferentes instrumentos que representan la gobernanza de la TI. En particular, el proceso de

aprobación de la Cartera de Proyectos es uno de los instrumentos más importantes. El

proceso es un ciclo virtuoso, que comienza y termina con el tablero. Se inicia cuando el

consejo busca el valor de las nuevas aplicaciones de TI, y termina cuando se aprueba una

cartera de proyectos al año. Como instrumento de gobernanza de TI, el proceso de

aprobación de la Cartera de Proyectos es uno de los mejores mecanismos de alineación entre

44

las unidades de negocio y el personal de TI, ya que formaliza este proceso transparente para

todas las partes interesadas e incluso el público en general20

.

En primer lugar, la Junta debe establecer la dirección del gobierno de TI (por un período

superior a un año) establecer los objetivos estratégicos. El CIO establece los objetivos

tácticos. Los resultados de estos objetivos (estratégicos y tácticos) son los planes de TI y

políticas. La selección final de los proyectos de la cartera debe estar alineada con estos

planes y políticas. Luego, las unidades de negocio y el personal de TI colaboran juntos para

presentar propuestas de proyectos a la oficina de CIO. Estas propuestas son promovidas por

los patrocinadores y luego son evaluados por el CIO. La instancia última de la construcción

de la cartera de proyectos es la aprobación formal de la junta, cerrando el ciclo del proceso.

Por lo tanto, los objetivos estratégicos y las tácticas, las propuestas de proyectos

provenientes de unidades de negocio (departamentos y oficinas) y las decisiones finales se

publican de forma explícita en el marco de gobierno de TI21

.

20

Barceló 2012: 71

21 Barceló 2012: 72

45

IMPLEMENTACIÓN DE UN MODELO DE

GESTIÓN ESTRATEGICA EN IT-EXPERT

Este capítulo se centra en la ejecución del proyecto IMGETI. Para el caso de IT-Expert, solo

nos enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El

proyecto está dividido en dos partes. La primera parte está conformado por las fases de

implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de

implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa

y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de

nivel de capacidad a los procesos, se define el nivel al que se quiere llegar, y se definen las

oportunidades de mejora para luego priorizarlas en base a sus niveles de dificultad y

beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases

involucran la creación de un del plan de implementación de las soluciones escogidas en la

fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el

control de los procesos de la empresa IT-Expert agrupados en un cuadro de control;

finalmente, se realiza la segunda evaluación de capacidad para validar el éxito alcanzado.

Además se menciona algunas conclusiones y recomendaciones para la mejora continua de

la empresa.

46

FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL

COMPROMISO DE LA ALTA DIRECCIÓN

El objetivo de esta fase es reconocer y aceptar la necesidad de una iniciativa de mejora por

parte de la gerencia de la empresa, así como, obtener el compromiso de las demás partes

interesadas. Por eso, como primera actividad, se ha realizado la identificación de los puntos

débiles y eventos desencadenantes, los cuales servirán como motivadores del cambio22

que

serán presentados ante la gerencia para lograr su total apoyo y compromiso, así como las

partes interesadas sus roles y responsabilidades en la empresa para considerar la efectividad

de estos en la creación de valor para la empresa.

PUNTOS DÉBILES

Cambio en la gerencia duplicación o superposición entre las iniciativas o despilfarro de

recursos

Existen muchos proyectos de TI que han sido desarrollados, pero que no han sido puestos en

marcha en la empresa. Además, se han encontrado casos de proyectos que son aprobados

para formar parte de la cartera de proyectos, a pesar de que estos ya hayan sido realizados de

manera parcial o total anteriormente, lo que provoca la pérdida de recursos utilizados

durante el desarrollo del proyecto hasta la detección del problema. Esto es debido a la falta

de una visión holística de todos los proyectos de TI, y la inexistencia de procesos y la

estructura para la capacidad de decisión alrededor del portafolio.

El equipo humano presenta un nivel de competencias insuficiente para el desarrollo de

sus responsabilidades

Se ha encontrado también un problema con el nivel de competencias del equipo humano.

Cada ciclo se realiza una rotación del personal y cada ciclo se enfrenta el mismo problema

22

“Un motivador de cambio es un evento interno o externo, condición o aspecto clave que

sirve como estímulo para el cambio.” Cfr. COBIT 2012:20

47

de que los nuevos miembros desconocen algunas de las normas o estándares bajo los cuales

IT-Expert maneja sus actividades, a pesar de que existan algunas políticas que ya abordan

este problema. Esto podría deberse a la falta de control del cumplimiento de las políticas que

debería ser realizada por la gestión de recursos humanos.

EVENTOS DESENCADENANTES

Cambio en la Gerencia

Actualmente la empresa está pasando por un proceso de cambio de gerente. Como parte de

este proceso, se están realizando revisiones de los procesos actuales de la empresa,

repositorios de documentos, portafolio de proyectos y registros existentes de los recursos

físicos e intangibles.

Deseo de mejorar

Existe un plan de mejora de procesos que inicia en la determinación y análisis del proceso a

mejorar para luego proponer posibles mejoras así como las acciones necesarias para la

implementación de las mismas.

IDENTIFICACIÓN DE PARTES INTERESADAS

A demás de concientizar a la gerencia, es necesario lograr un compromiso con las demás

partes interesadas. Para esto, se han definido e identificado las responsabilidades e intereses

de las partes interesadas con relación al programa de mejora, el cual se desarrolla en el

presente proyecto.

Tabla 7: Responsabilidades e Intereses de las partes interesadas

48

Partes Interesadas Responsabilidades Interés en los Resultados del

Programa de implementación

Gerente Profesor,

Gerente Alumno

Establecer los objetivos para el programa de

mejora y asegurar su alineación con la

estrategia y de metas de la empresa.

Aprobar los resultados del programa, y

asegurar que los beneficios previstos son

alcanzados.

Se encuentran interesados en obtener

el máximo beneficio en el negocio de la

implantación del programa. Quieren

garantizar que todas las cuestiones

relevantes requeridas se consideran,

que las tareas requeridas se llevan a

cabo y que los resultados esperados

se entregan correctamente.

Responsables de procesos de

TI

Dar información clave para la evaluación del

desempeño y para establecer los objetivos

de mejoras. Proporcionar información sobre

las buenas prácticas pertinentes que deben

ser incorporados y proporcionar

asesoramiento.

Esto grupo está interesado en

garantizar que las iniciativas de

mejora resulten en un mejor gobierno

de TI sobre todas y cada una de las

áreas, y que las opiniones sobre el

negocio necesarias para ello son

obtenidas de la mejor forma posible.

Profesor Cliente Asesorar en la planificación y desarrollo del

programa. Evaluar los entregables que se

hayan definido en el programa.

Está interesado en que los resultados

previstos se alcancen mediante la

ejecución correcta del programa.

Equipo de implantación Dirigir, diseñar, controlar y gestionar el

programa, desde la identificación de

objetivos y requerimientos hasta las

eventuales evaluaciones del programa

respecto a los objetivos del programa.

El equipo quiere asegurarse de que

todos los resultados previstos se

obtienen y se maximizan.

Clientes Los clientes podrían verse afectados

por el grado en que se cumplen los

objetivos del programa. El cliente tiene

una participación indirecta en los

resultados del programa de

49

Partes Interesadas Responsabilidades Interés en los Resultados del

Programa de implementación

implantación.


50

FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL

ESTADO ACTUAL

El objetivo de esta fase es asegurar que el equipo del programa conoce y entiende los

objetivos de la empresa. Identificar los procesos críticos u otros catalizadores que se

abordarán en el plan de mejora y determinar la capacidad actual de los procesos

seleccionados mediante una evaluación.

Como parte de esta segunda fase se debe definir el alcance mediante la identificación de los

objetivos de negocio de la empresa relacionados a los objetivos de TI, con estos objetivos

de TI se podrá establecer la correspondencia a los procesos propuestos por COBIT 5, de esta

forma se proporciona un mapeo genérico de los objetivos de negocio con los relacionados

con TI y sus procesos para ayudar con la selección de procesos importantes para la empresa

y la alineación de los objetivos de TI a los objetivos de negocio.

Dados los objetivos de la empresa y de TI seleccionados, se identifican los procesos críticos

que se necesitan para asegurar resultados exitosos. La gerencia necesita saber dónde están

las capacidades actuales y dónde pueden existir ineficiencias. Esto se logra mediante una

evaluación de capacidad del estado de los procesos seleccionados.

Para entender mejor cada artefacto en esta fase, se tendrá la siguiente estructura dividida en:

Descripción: Define y describe en no más de un párrafo al artefacto del modelo que se está

implementado.

Propósito: Muestra la función que tiene el artefacto en el modelo que se está implementado.

Alcance: Nos indica el alcance del artefacto dentro del proyecto IMGETI.

CASCADA DE METAS

Mapeo Entre necesidades de las partes interesadas y las metas de la empresa

Descripción: Es un cuadro que posee dos dimensiones: Necesidades de las partes

interesadas y Las metas de la empresa. Esto nos ayuda a identificar las necesidades de las

51

partes interesadas en forma de preguntas con las metas de la empresa en la parte superior.

Los cuadros azules muestran la relación que hay entre ambas cabeceras.

Propósito: Tener una visión de la relación entre las necesidades de las partes interesadas y

los objetivos empresariales.

Alcance: Solo se toma en cuenta las necesidades de las partes interesadas definidas en el

punto anterior.

Tabla 8: Mapeo Entre necesidades de las partes interesadas y las metas de la empresa

Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l

clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga

del s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

co

ntin

uam

ente

lo

s pr

oces

os

de

nego

cio

Man

tene

r la

pro

duct

ivid

ad d

e la

ope

raci

ón y

del p

erso

nal e

n ni

vele

s óp

tim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del

pers

onal

Prom

over

un

a cu

ltur

a de

in

nova

ción

en

el

nego

cio

¿Cómo consigo valor del uso de TI? ¿Están los

usuarios finales satisfechos con la calidad del

servicio de TI?

¿Cómo gestiono el rendimiento de TI?

¿Cómo puedo explotar mejor las nuevas tecnologías

para nuevas oportunidades de negocio?

53

Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l

clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga

del s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

co

ntin

uam

ente

lo

s pr

oces

os

de

nego

cio

Man

tene

r la

pro

duct

ivid

ad d

e la

ope

raci

ón y

del p

erso

nal e

n ni

vele

s óp

tim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del

pers

onal

Prom

over

un

a cu

ltur

a de

in

nova

ción

en

el

nego

cio

¿Cómo construyo y estructuro mejor mi

departamento de TI?

¿Cuánto dependo de los proveedores externos?

¿Estoy gestionando bien los contratos de

externalización de TI? ¿Cómo obtengo aseguramiento

sobre los proveedores externos?

¿Cuáles son los requisitos (de control) para la

información?

54

Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l

clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga

del s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

co

ntin

uam

ente

lo

s pr

oces

os

de

nego

cio

Man

tene

r la

pro

duct

ivid

ad d

e la

ope

raci

ón y

del p

erso

nal e

n ni

vele

s óp

tim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del

pers

onal

Prom

over

un

a cu

ltur

a de

in

nova

ción

en

el

nego

cio

¿Considero todos los riesgos relativos a TI?

¿Estoy realizando una operación de TI eficiente y

robusta?

¿Cómo controlo el coste de TI? ¿Cómo utilizo los

recursos de TI de la manera más efectiva y eficiente?

¿Tengo suficiente personal para TI? ¿Cómo puedo

desarrollar y mantener sus habilidades y cómo

gestiono su rendimiento?

55

Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l

clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga

del s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

co

ntin

uam

ente

lo

s pr

oces

os

de

nego

cio

Man

tene

r la

pro

duct

ivid

ad d

e la

ope

raci

ón y

del p

erso

nal e

n ni

vele

s óp

tim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del

pers

onal

Prom

over

un

a cu

ltur

a de

in

nova

ción

en

el

nego

cio

¿Cómo consigo confianza sobre TI?

¿Está bien asegurada la información que se está

procesando?

¿Cómo puedo mejorar la capacidad de respuesta del

negocio mediante un entorno de TI más flexible?

¿Fracasan los proyectos de TI en proporcionar lo que

habían prometido? Si es así, ¿por qué? ¿Está siendo

TI un obstáculo para ejecutar la estrategia de

56

Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l

clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga

del s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

co

ntin

uam

ente

lo

s pr

oces

os

de

nego

cio

Man

tene

r la

pro

duct

ivid

ad d

e la

ope

raci

ón y

del p

erso

nal e

n ni

vele

s óp

tim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del

pers

onal

Prom

over

un

a cu

ltur

a de

in

nova

ción

en

el

nego

cio

negocio?

¿Cómo es de crítica la TI para para la sostenibilidad

de la empresa? ¿Qué pasaría si la TI no estuviera

disponible?

¿Qué procesos de negocio críticos dependen de TI y

cuáles son los requerimientos de los procesos de

negocio?

¿Qué parte del esfuerzo de TI se dedica a apagar

57

Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l

clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga

del s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

co

ntin

uam

ente

lo

s pr

oces

os

de

nego

cio

Man

tene

r la

pro

duct

ivid

ad d

e la

ope

raci

ón y

del p

erso

nal e

n ni

vele

s óp

tim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del

pers

onal

Prom

over

un

a cu

ltur

a de

in

nova

ción

en

el

nego

cio

fuegos en lugar de facilitar las mejoras del negocio?


58

Mapeo entre las necesidades de la empresa y las metas relacionadas con TI

Descripción: Cuadro de dos dimensiones que muestra la relación entre Metas de la

empresa y Las metas relacionadas con TI. Aquí podemos visualizar los objetivos de TI en

la cabecera izquierda y los objetivos de la empresa en la cabecera superior. Además, cada

relación esta diferenciada entre P (Primaria) o S (Secundaria), esto nos ayuda a priorizar los

objetivos de la empresa con mayor relación con los objetivos de TI.

Propósito: Sirve como evidencia para demostrar que las metas relacionadas con TI están

alineadas a las metas de la empresa.

Alcance: Se consideran todas las metas presentes en mapeo anterior.

59

Tabla 9: Mapeo entre las metas de la empresa y las metas relacionadas con TI

Metas Corporativas - Fila

Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

Meta relacionada con las TI - Columna Cliente Interno Aprendizaje y Crecimiento

Fina

ncie

ra

Alineamiento de TI y la estrategia de negocio P S P P S P S S

60


Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

Cumplimiento y Soporte de la TI al cumplimiento

del negocio de las leyes y regulaciones

externas

S

Compromiso de la dirección ejecutiva para P S P S P

61


Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

tomar decisiones relacionadas con TI

Riesgos de negocio relacionados con las TI

gestionados P P S

Realización de beneficios del portafolio de S S S S

62


Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

Inversiones y Servicios relacionados con las TI

Transparencia de los costes, beneficios y

riesgos de las TI S S

Clie

nte Entrega de servicios de TI de acuerdo a los P S P P S P S S

63


Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

requisitos del negocio

Uso adecuado de aplicaciones, información

y soluciones tecnológicas P P P S S P S S

Inte

rno Agilidad de las TI S S S S S

64


Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

Seguridad de la información,

infraestructuras de procesamiento y

aplicaciones

P P

Optimización de activos, recursos y P P P S P S

65


Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

capacidades de las TI

Capacitación y soporte de procesos de

negocio integrando aplicaciones y

tecnología en procesos de negocio

P P S P S P P P S

66


Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

Entrega de Programas que proporcionen

beneficios a tiempo, dentro del presupuesto y

satisfaciendo los requisitos y normas de

calidad

S S

Disponibilidad de información útil y relevante S S S

67


Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

para la toma de decisiones

Cumplimiento de TI con las políticas internas S

Apre

ndiz

aje

y

Crec

imie

nto Personal del negocio y de las TI competente

y motivado S P P P P P

68


Prom

over

una

cul

tura

de

serv

icio

ori

enta

da a

l clie

nte

Aseg

urar

la c

ontin

uida

d y

disp

onib

ilida

d de

los

serv

icio

s de

l neg

ocio

Gara

ntiz

ar la

cal

idad

y e

ficie

ncia

en

la e

ntre

ga d

el s

ervi

cio

Gene

rar

valo

r pa

ra la

s pa

rtes

inte

resa

das

Man

tene

r pr

oduc

tos

y se

rvic

ios

de c

alid

ad

Cont

rola

r lo

s ri

esgo

s de

l neg

ocio

Mej

orar

con

tinua

men

te lo

s pr

oces

os d

e ne

goci

o

Man

tene

r la

pr

oduc

tivi

dad

de

la

oper

ació

n y

del

pers

onal

en

ni

vele

s

óptim

os

Fom

enta

r la

mot

ivac

ión

y el

ent

rena

mie

nto

del p

erso

nal

Prom

over

una

cul

tura

de

inno

vaci

ón e

n el

neg

ocio

Conocimiento, experiencia e iniciativas para

la innovación de negocio P P P S P


69

Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5

Descripción: Cuadro de dos dimensiones que muestra las relacionadas entre las metas

relacionadas con TI y los procesos del modelo de COBIT 5. En este caso podemos

diferencias las metas relacionadas con TI en la cabecera superior de los procesos de COBIT

que se encuentran en la cabecera izquierda. En esta relación también se tiene en cuenta la

prioridad P (Primaria) o S (Secundaria).

Propósito: Identificar los procesos que ayuden a cumplir las metas relacionadas con TI.

Alcance: Solo se consideran los procesos del primer dominio de gestión de COBIT 5.

70

Tabla 10: Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5

Meta relacionada con las TI - Fila

Alin

eam

ient

o de

TI y

la e

stra

tegi

a de

neg

ocio

Com

prom

iso

de l

a di

recc

ión

ejec

utiv

a pa

ra t

omar

dec

isio

nes

rela

cion

adas

con

TI

Ries

gos

de n

egoc

io r

elac

iona

dos

con

las

TI g

esti

onad

os

Entr

ega

de s

ervi

cios

de

TI d

e ac

uerd

o a

los

requ

isito

s de

l neg

ocio

Uso

adec

uado

de

aplic

acio

nes,

info

rmac

ión

y so

luci

ones

tec

noló

gica

s

Segu

rida

d de

la

in

form

ació

n,

infr

aest

ruct

uras

de

pr

oces

amie

nto

y

aplic

acio

nes

Opt

imiz

ació

n de

act

ivos

, rec

urso

s y

capa

cida

des

de la

s TI

Capa

cita

ción

y s

opor

te d

e pr

oces

os d

e ne

goci

o in

tegr

ando

apl

icac

ione

s y

tecn

olog

ía e

n pr

oces

os d

e ne

goci

o

Pers

onal

del

neg

ocio

y d

e la

s TI

com

pete

nte

y m

otiv

ado

Cono

cim

ient

o, e

xper

ienc

ia e

inic

iati

vas

para

la in

nova

ción

de

nego

cio

Procesos de COBIT 5 - Columna Financiera Cliente Interno Aprendizaje y

Crecimiento

Alin

ear,

Plan

ific

ar

y

Org

aniz

ar

APO01 Gestionar el Marco de P S S S S P S S S

71


Alin

eam

ient

o de

TI y

la e

stra

tegi

a de

neg

ocio

Com

prom

iso

de l

a di

recc

ión

ejec

utiv

a pa

ra t

omar

dec

isio

nes

rela

cion

adas

con

TI

Ries

gos

de n

egoc

io r

elac

iona

dos

con

las

TI g

esti

onad

os

Entr

ega

de s

ervi

cios

de

TI d

e ac

uerd

o a

los

requ

isito

s de

l neg

ocio

Uso

adec

uado

de

aplic

acio

nes,

info

rmac

ión

y so

luci

ones

tec

noló

gica

s

Segu

rida

d de

la

in

form

ació

n,

infr

aest

ruct

uras

de

pr

oces

amie

nto

y

aplic

acio

nes

Opt

imiz

ació

n de

act

ivos

, rec

urso

s y

capa

cida

des

de la

s TI

Capa

cita

ción

y s

opor

te d

e pr

oces

os d

e ne

goci

o in

tegr

ando

apl

icac

ione

s y

tecn

olog

ía e

n pr

oces

os d

e ne

goci

o

Pers

onal

del

neg

ocio

y d

e la

s TI

com

pete

nte

y m

otiv

ado

Cono

cim

ient

o, e

xper

ienc

ia e

inic

iati

vas

para

la in

nova

ción

de

nego

cio

Gestión de TI

APO02 Gestionar la Estrategia P S S P S P S S S

APO03 Gestionar la

Arquitectura

P S S S P P S

72


Alin

eam

ient

o de

TI y

la e

stra

tegi

a de

neg

ocio

Com

prom

iso

de l

a di

recc

ión

ejec

utiv

a pa

ra t

omar

dec

isio

nes

rela

cion

adas

con

TI

Ries

gos

de n

egoc

io r

elac

iona

dos

con

las

TI g

esti

onad

os

Entr

ega

de s

ervi

cios

de

TI d

e ac

uerd

o a

los

requ

isito

s de

l neg

ocio

Uso

adec

uado

de

aplic

acio

nes,

info

rmac

ión

y so

luci

ones

tec

noló

gica

s

Segu

rida

d de

la

in

form

ació

n,

infr

aest

ruct

uras

de

pr

oces

amie

nto

y

aplic

acio

nes

Opt

imiz

ació

n de

act

ivos

, rec

urso

s y

capa

cida

des

de la

s TI

Capa

cita

ción

y s

opor

te d

e pr

oces

os d

e ne

goci

o in

tegr

ando

apl

icac

ione

s y

tecn

olog

ía e

n pr

oces

os d

e ne

goci

o

Pers

onal

del

neg

ocio

y d

e la

s TI

com

pete

nte

y m

otiv

ado

Cono

cim

ient

o, e

xper

ienc

ia e

inic

iati

vas

para

la in

nova

ción

de

nego

cio

Empresarial

APO04 Gestionar la Innovación S S S P S P

APO05 Gestionar Portafolio P S S S S S S

73


Alin

eam

ient

o de

TI y

la e

stra

tegi

a de

neg

ocio

Com

prom

iso

de l

a di

recc

ión

ejec

utiv

a pa

ra t

omar

dec

isio

nes

rela

cion

adas

con

TI

Ries

gos

de n

egoc

io r

elac

iona

dos

con

las

TI g

esti

onad

os

Entr

ega

de s

ervi

cios

de

TI d

e ac

uerd

o a

los

requ

isito

s de

l neg

ocio

Uso

adec

uado

de

aplic

acio

nes,

info

rmac

ión

y so

luci

ones

tec

noló

gica

s

Segu

rida

d de

la

in

form

ació

n,

infr

aest

ruct

uras

de

pr

oces

amie

nto

y

aplic

acio

nes

Opt

imiz

ació

n de

act

ivos

, rec

urso

s y

capa

cida

des

de la

s TI

Capa

cita

ción

y s

opor

te d

e pr

oces

os d

e ne

goci

o in

tegr

ando

apl

icac

ione

s y

tecn

olog

ía e

n pr

oces

os d

e ne

goci

o

Pers

onal

del

neg

ocio

y d

e la

s TI

com

pete

nte

y m

otiv

ado

Cono

cim

ient

o, e

xper

ienc

ia e

inic

iati

vas

para

la in

nova

ción

de

nego

cio

APO06 Gestionar el Presupuesto

y los Costes S S S S S S

APO07 Gestionar los Recursos

Humanos S S S S

S P P P

74


Alin

eam

ient

o de

TI y

la e

stra

tegi

a de

neg

ocio

Com

prom

iso

de l

a di

recc

ión

ejec

utiv

a pa

ra t

omar

dec

isio

nes

rela

cion

adas

con

TI

Ries

gos

de n

egoc

io r

elac

iona

dos

con

las

TI g

esti

onad

os

Entr

ega

de s

ervi

cios

de

TI d

e ac

uerd

o a

los

requ

isito

s de

l neg

ocio

Uso

adec

uado

de

aplic

acio

nes,

info

rmac

ión

y so

luci

ones

tec

noló

gica

s

Segu

rida

d de

la

in

form

ació

n,

infr

aest

ruct

uras

de

pr

oces

amie

nto

y

aplic

acio

nes

Opt

imiz

ació

n de

act

ivos

, rec

urso

s y

capa

cida

des

de la

s TI

Capa

cita

ción

y s

opor

te d

e pr

oces

os d

e ne

goci

o in

tegr

ando

apl

icac

ione

s y

tecn

olog

ía e

n pr

oces

os d

e ne

goci

o

Pers

onal

del

neg

ocio

y d

e la

s TI

com

pete

nte

y m

otiv

ado

Cono

cim

ient

o, e

xper

ienc

ia e

inic

iati

vas

para

la in

nova

ción

de

nego

cio

APO08 Gestionar las

Relaciones P S S P

P S

APO09 Gestionar los Acuerdos

de Servicio S S P S S

75


Alin

eam

ient

o de

TI y

la e

stra

tegi

a de

neg

ocio

Com

prom

iso

de l

a di

recc

ión

ejec

utiv

a pa

ra t

omar

dec

isio

nes

rela

cion

adas

con

TI

Ries

gos

de n

egoc

io r

elac

iona

dos

con

las

TI g

esti

onad

os

Entr

ega

de s

ervi

cios

de

TI d

e ac

uerd

o a

los

requ

isito

s de

l neg

ocio

Uso

adec

uado

de

aplic

acio

nes,

info

rmac

ión

y so

luci

ones

tec

noló

gica

s

Segu

rida

d de

la

in

form

ació

n,

infr

aest

ruct

uras

de

pr

oces

amie

nto

y

aplic

acio

nes

Opt

imiz

ació

n de

act

ivos

, rec

urso

s y

capa

cida

des

de la

s TI

Capa

cita

ción

y s

opor

te d

e pr

oces

os d

e ne

goci

o in

tegr

ando

apl

icac

ione

s y

tecn

olog

ía e

n pr

oces

os d

e ne

goci

o

Pers

onal

del

neg

ocio

y d

e la

s TI

com

pete

nte

y m

otiv

ado

Cono

cim

ient

o, e

xper

ienc

ia e

inic

iati

vas

para

la in

nova

ción

de

nego

cio

APO10 Gestionar los

Proveedores P S S S S S

APO11 Gestionar la Calidad S S P S P S S

76


Alin

eam

ient

o de

TI y

la e

stra

tegi

a de

neg

ocio

Com

prom

iso

de l

a di

recc

ión

ejec

utiv

a pa

ra t

omar

dec

isio

nes

rela

cion

adas

con

TI

Ries

gos

de n

egoc

io r

elac

iona

dos

con

las

TI g

esti

onad

os

Entr

ega

de s

ervi

cios

de

TI d

e ac

uerd

o a

los

requ

isito

s de

l neg

ocio

Uso

adec

uado

de

aplic

acio

nes,

info

rmac

ión

y so

luci

ones

tec

noló

gica

s

Segu

rida

d de

la

in

form

ació

n,

infr

aest

ruct

uras

de

pr

oces

amie

nto

y

aplic

acio

nes

Opt

imiz

ació

n de

act

ivos

, rec

urso

s y

capa

cida

des

de la

s TI

Capa

cita

ción

y s

opor

te d

e pr

oces

os d

e ne

goci

o in

tegr

ando

apl

icac

ione

s y

tecn

olog

ía e

n pr

oces

os d

e ne

goci

o

Pers

onal

del

neg

ocio

y d

e la

s TI

com

pete

nte

y m

otiv

ado

Cono

cim

ient

o, e

xper

ienc

ia e

inic

iati

vas

para

la in

nova

ción

de

nego

cio

APO12 Gestionar el Riesgo P S S P S S

APO13 Gestionar la Seguridad P S S P


EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS

ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE

REVISIÓN)

Evaluaciones del dominio de gestión

Descripción: Resultado de la evaluación de capacidad de todos los proceso del dominio

APO. Esta evaluación se realiza para obtener el nivel actual de la empresa.

Propósito: Identificar el nivel de capacidad de cada proceso de dominio APO.

Alcance: Se consideraron solo los procesos del dominio APO que estén alineados a los

objetivos de TI. Asimismo, la evaluación se basó en las listas de revisión adjuntas en el

Anexo 2. Para realizar la fase dos se debe analizar el estado actual o nivel de capacidad

de los procesos de la empresa en el dominio Alinear, Planear y Organizar. Los Procesos

APO comprenden de 13 procesos. Sin embargo, para el análisis de la empresa IT-Expert

no se considerara el proceso “APO06Gestionar el Presupuesto y los Costes”, debido a

que esta no se alinea a los objetivos de TI de la empresa.

Los siguientes cuadros describen los resultados de la evaluación de los procesos APO

en la empresa IT-Expert en los siguientes procesos:

APO01 Gestionar el Marco de Gestión de TI

APO02 Gestionar la Estrategia

APO03 Gestionar la Arquitectura Empresarial

APO04 Gestionar la Innovación

APO05 Gestionar Portafolio

APO07 Gestionar los Recursos Humanos

APO08 Gestionar las Relaciones

APO09 Gestionar los Acuerdos de Servicio

APO10 Gestionar los Proveedores

78

APO11 Gestionar la Calidad

APO12 Gestionar el Riesgo

APO13 Gestionar la Seguridad

Hay que tener en cuenta que en cada cuadro tenemos los tres criterios de evaluación con

valores porcentuales. Estos valores porcentuales están con color de fondo amarillo y que

luego se promedian para obtener el nivel de capacidad de cada proceso en el nivel 1.

Para analizar e identificar el valor porcentual tenemos evaluar el proceso mediante listas

de revisión que se encuentran en el anexo 2 del presente documento.

Criterios de evaluación

Meta del Proceso (Os): Estos son los objetivos que se cumplen en cada meta de cada

proceso en los dominios de COBIT 5. Para la evaluación se tendrá un nivel de

cumplimiento de cada meta del 1 al 4, siendo la escala de la siguiente forma:

Nivel Descripción

1 Cumple en su

minoría

2 Cumple

parcialmente

3 Cumple en su

mayoría

4 Cumple totalmente.

Fórmula para obtener el valor porcentual de la Meta proceso del Proceso se usa la

siguiente formula, Nivel de Meta (NM):

79

Ejemplo: Para el dominio APO01 el NM1 es 2 y el NM2 es 3

[ ] [ ]

Prácticas Base (BPs): Estas son las actividades a realizarse en el proceso, estas

actividades están dentro de las mejores prácticas en el GEIT. Cada actividad del proceso

contiene tareas, para medir el cumplimiento de las actividades con relación a las tareas

de cada actividad se evalúa por porcentaje de tareas logradas en cada actividad entre el

(0% - 100%).

Fórmula para obtener el valor porcentual de las prácticas base se tiene en cuenta el

resultado de las listas de revisión mediante el resultado del cumplimiento de las tareas

de cada práctica base en la empresa IT-Expert. Luego de obtener los valores de cada

práctica base se promedian para obtener el valor porcentual promedio de las prácticas

base del proceso, Cumplimiento de práctica base (CPB):

Ejemplo: Para el dominio APO01 el CPB1 es 30%, el CPB2 es 22%, el CPB3 es 13% y

el CPB4 es 24%

80

Producto de Trabajo (WPs): El producto de trabajo es el entregable de cada proceso en

el dominio APO. Para la evaluación de esta parte se contabilizaran los entregables

existentes y los que no existen, (SI - NO).

Teniendo en cuenta si se contempla la creación de este producto de trabajo o entregable

se contara con un SI y si no se contempla se contara como un NO, Producto

Contemplado (PC):

Por medio de estos tres indicadores podremos obtener el grado o alcance en el nivel de

capacidad uno23

, Cumplimiento (Os) Cumplimiento (BPs) Cumplimiento (WPs).

23

El nivel 1 del Nivel de capacidad es el que sigue del nivel más bajo (nivel 0), el nivel

1 es tomado como base en el proyecto, pues el nivel cero es teniendo en cuenta que no

se tiene nada de la empresa IT-Expert que cumpla con los mínimos niveles en las

buenas prácticas que se da en empresas que implementan por 1era vez un modelo de

gestión.

81

Calificación de la capacidad actual de los procesos seleccionados


Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica

que la empresa IT-Expert en el proceso APO01 tiene un total de 46.6% de capacidad en

el nivel 1.

Evaluación APO01

APO01 Gestionar el Marco de Gestión de TI 46.6

82

Descripción del Proceso

Aclarar y mantener el gobierno de la misión y la visión

corporativa de TI. Implementar y mantener mecanismos y

autoridades para la gestión de la

Información y el uso de TI en la empresa para apoyar los

objetivos de gobierno en consonancia con las políticas y

los principios rectores.

Declaración del Propósito del

Proceso

Proporcionar un enfoque de gestión consistente que

permita cumplir los requisitos de gobierno corporativo e

incluya procesos de gestión, estructuras, roles y

responsabilidades organizativos, actividades fiables y

reproducibles y habilidades y competencias.

Meta del Proceso (Os) (1-4) 50

APO01-O1 Se ha definido y se mantiene un conjunto eficaz de

políticas. 3

APO01-O2

Todos tienen conocimiento de las políticas y de cómo

deberían 1

Implementarse.

Prácticas Base (BPs) % 46

APO01-BP1 Definir la estructura organizativa. 50

APO01-BP2 Establecer roles y responsabilidades 85.7

APO01-BP3 Mantener los elementos catalizadores del sistema de

gestión 22.2

APO01-BP4 Comunicar los objetivos y la dirección de gestión 0

APO01-BP5 Optimizar la ubicación de la función de TI. 100

APO01-BP6 Definir la propiedad de la información (datos) y del

50

83

sistema.

APO01-BP7 Gestionar la mejora continua de los procesos 40

APO01-BP8 Mantener el cumplimiento con las políticas y

procedimientos 20

Producto de Trabajo (WPs) S/N 42.9

APO01-WP1 Políticas relativas a TI no

APO01-WP2 Acciones de remediación por no cumplimiento no

APO01-WP3 Evaluación de las opciones para la organización de TI si

APO01-WP4 Definir la función operacional de las funciones de TI si

APO01-WP5 Definición de estructura y funciones organizativas si

APO01-WP6 Directrices operativas de la organización si

APO01-WP7 Reglas básicas de comunicación si

APO01-WP8 Definición de roles y responsabilidades relativos a TI si

APO01-WP9 Definición de prácticas de supervisión no

APO01-WP10 Evaluaciones de la capacidad de los procesos no

APO01-WP11 Oportunidades de mejoras de proceso no

APO01-WP12 Objetivos y métricas de rendimiento para el seguimiento

de la mejora de procesos no

APO01-WP13 Comunicación de objetivos de TI no

APO01-WP14 Directrices para la clasificación de datos no


84




el nivel 1. Y pertenece a uno de los procesos que deben ser implementados con más

urgencia en la empresa, debido a que se debe tener una gestión y control en la empresa

de forma más eficiente y completa.

Evaluación APO02

APO02 Gestionar la Estrategia 26.2


Aclarar y mantener el gobierno de la misión y la

visión corporativa de TI. Implementar y mantener

mecanismos y autoridades para la gestión de la

información y el uso de TI en la empresa para apoyar

los objetivos de gobierno en consonancia con las

políticas y los principios rectores.


Proceso


permita cumplir los requisitos de gobierno

corporativo e incluya procesos de gestión,

estructuras, roles y responsabilidades organizativos,

actividades fiables y reproducibles y habilidades y

competencias.

Meta del Proceso (Os) (1-4) 30.0

85

APO02-O1 Todos los aspectos de la estrategia de TI están

alineados con la estrategia del negocio. 2

APO02-O2

La estrategia de TI es coste-efectiva, apropiada,

realista, factible, enfocada al negocio y equilibrada. 1

APO02-O3

Se pueden derivar objetivos a corto plazo claros,

concretos, y trazables de iniciativas a largo plazo

específicas, y se pueden traducir, por tanto, en

planes operativos.

1

APO02-O4 TI es un generador de valor para el negocio. 1

APO02-O5

Existe conciencia de la estrategia de TI y una clara

asignación de responsabilidades para su entrega. 1

Prácticas Base (BPs) % 15.3

APO02.01 Comprender la dirección de la empresa. 66.7

APO02.02

Evaluar el entorno, capacidades y rendimiento

actuales. 25.0

APO02.03 Definir el objetivo de las capacidades de TI. 0.0

APO02.04 Realizar un análisis de diferencias. 0.0

APO02.05 Definir el plan estratégico y la hoja de ruta. 0.0

APO02.06 Comunicar la estrategia y la dirección de TI. 0.0


APO02-WP1 Fuentes y prioridades para cambios no

APO02-WP2 Línea de referencia de capacidades actuales no

APO02-WP3

Diferencias y riesgos relacionados con las

capacidades actuales no

86

APO02-WP4 Análisis FODA de capacidades si

APO02-WP5 Objetivos de TI a alto nivel si

APO02-WP6 Requerimientos del negocio y capacidades de TI no

APO02-WP7 Propuesta de cambio en la arquitectura del negocio no

APO02-WP8

Diferencias y cambios requeridos para alcanzar la

meta de capacidad no

APO02-WP9

Declaración del valor beneficio para el entorno

deseado no

APO02-WP10 Definición de iniciativas estratégicas si

APO02-WP11 Evaluación de riesgo si

APO02-WP12 Hoja de ruta estratégica no

APO02-WP13 Plan de comunicación si

APO02-WP14 Paquete de comunicación si


APO03 Gestionar la Arquitectura Empresarial



el nivel 1. Y es el segundo proceso que tiene los más bajos niveles en la evaluación del

nivel de capacidad. Es importante el proceso para la empresa IT-Expert debido a los

diferentes cambios que hay en la arquitectura de la empresa, de ahí la importancia de la

implementación de un proceso que gestione la arquitectura empresarial y todos sus

cambios.

87

Evaluación APO03

APO03 Gestionar la Arquitectura Empresarial 14.6

Descripción del

Proceso

Establecer una arquitectura común compuesta por los procesos de

negocio, la información, los datos, las aplicaciones y las capas de la

arquitectura tecnológica de manera eficaz y eficiente para la

realización de las estrategias de la empresa y de TI mediante la

creación de modelos clave y prácticas que describan las líneas de

partida y las arquitecturas objetivo. Definir los requisitos para la

taxonomía, las normas, las directrices, los procedimientos, las

plantillas y las herramientas y proporcionar un vínculo para estos

componentes. Mejorar la adecuación, aumentar la agilidad, mejorar

la calidad de la información y generar ahorros de costes potenciales

mediante iniciativas tales como la reutilización de bloques de

componentes para los procesos de

construcción.

Declaración del

Propósito del

Proceso

Representar a los diferentes módulos que componen la empresa y

sus interrelaciones, así como los principios rectores de su diseño y

evolución en el tiempo, permitiendo una entrega estándar, sensible y

eficiente de los objetivos operativos y estratégicos.


APO03-O1 La arquitectura y los estándares son eficaces apoyando a la 1

88

empresa.

APO03-O2

Todos tienen conocimiento de las políticas y de cómo deberían

implementarse. 1

APO03-O3

Existen dominios apropiados y actualizados y/o arquitecturas

federadas que proveen información fiable de la arquitectura. 1

APO03-O4

Se utiliza un marco de arquitectura de empresa y una metodología

común, así como un repositorio de arquitectura integrado, con el fin

de permitir la reutilización de eficiencias dentro de la empresa.

1


APO03-BP1 Desarrollar la visión de la arquitectura de empresa. 0.0

APO03-BP2 Definir la arquitectura de referencia. 11.1

APO03-BP3 Seleccionar las oportunidades y las soluciones. 0.0

APO03-BP4 Definir la implantación de la arquitectura. 0.0

APO03-BP5 Proveer los servicios de arquitectura empresarial. 0.0


APO03-WP1 Alcance de la arquitectura definido si

APO03-WP2 Principios de arquitectura no

APO03-WP3 Caso de negocio y propuesta de valor del concepto de arquitectura no

APO03-WP4 Descripciones de dominio de partida y definición de la arquitectura si

APO03-WP5 Modelo de arquitectura de procesos no

APO03-WP6 Modelo de la arquitectura de la información no

APO03-WP7 Estrategia de Implementación a alto nivel y estrategia de migración no

89

APO03-WP8 Arquitecturas de transición no

APO03-WP9 Necesidades de recursos no

APO03-WP10 Descripciones de las fases de implementación no

APO03-WP11 Requisitos de gobierno de la arquitectura no

APO03-WP12 Orientación para el desarrollo de soluciones no





el nivel 1. Este proceso tiene el resultado más bajo debido a que no existe un proceso

que contemple la gestión de la innovación. Este proceso será parte del portafolio de

procesos a definirse para la empresa IT-Expert.

Evaluación APO04

APO04 Gestionar la Innovación 12.7

90

Descripción del

Proceso

Mantener un conocimiento de la tecnología de la información y las

tendencias relacionadas con el servicio, identificar las oportunidades

de innovación y planificar la manera de beneficiarse de la innovación

en relación con las necesidades del negocio. Analizar cuáles son las

oportunidades para la innovación empresarial o qué mejora puede

crearse con las nuevas tecnologías, servicios o innovaciones

empresariales facilitadas por TI, así como a través de las tecnologías

ya existentes y por la innovación en procesos empresariales y de TI.

Influir en la planificación estratégica y en las decisiones de la

arquitectura de empresa.

Declaración del

Propósito del

Proceso

Lograr ventaja competitiva, innovación empresarial y eficacia y

eficiencia operativa mejorada mediante la explotación de los

desarrollos tecnológicos para la explotación de la información.


APO04-O1

El valor de empresa es creado mediante la cualificación y puesta en

escena de los avances e innovaciones tecnológicas más apropiadas,

los métodos y las soluciones TI utilizadas.

1

APO04-O2

Los objetivos de la empresa se cumplen por la mejora de los

beneficios de la calidad y/o la reducción de costes como resultado

de la identificación e implementación de soluciones innovadoras.

1

APO04-O3

La innovación se permite y se promueve y forma parte de la cultura

de

la empresa.

1


APO04-BP1 Crear un entorno favorable para la innovación. 20.0

APO04-BP2 Mantener un entendimiento del entorno de la empresa. 33.3

APO04-BP3 Supervisar y explorar el entorno tecnológico. 25.0

91

APO04-BP4 Evaluar el potencial de las tecnologías emergentes y las ideas

innovadoras. 0.0

APO04-BP5 Recomendar iniciativas apropiadas adicionales. 0.0

APO04-BP6 Supervisar la implementación y el uso de la innovación. 0.0


APO04-WP1 Oportunidades de innovación vinculadas a los motivadores del

negocio no

APO04-WP2 Análisis de investigación de las posibilidades de innovación no

APO04-WP3 Evaluación de las ideas de innovación no

APO04-WP4 Alcance de la prueba de concepto y descripción de los casos de

negocio no

APO04-WP5 Comprobar los resultados de las iniciativas de pruebas de concepto. no

APO04-WP6 Resultados y recomendaciones de las pruebas de concepto no

APO04-WP7 Análisis de las iniciativas rechazadas no

APO04-WP8 Plan de Innovación no

APO04-WP9 Programa de reconocimiento y recompensa no

APO04-WP10 Valoración del uso de enfoques innovadores no

APO04-WP11 Evaluación de los beneficios de la innovación no

APO04-WP12 Planes de innovación ajustados no



92



el nivel 1. Este proceso gestiona los portafolios de activos, se debe implementar el

proceso con un alineamiento a los objetivos de la empresa.

Evaluación APO05

APO05 Gestionar Portafolio 29.2

Descripción del

Proceso

Ejecutar el conjunto de direcciones estratégicas para la inversión

alineada con la visión de la arquitectura empresarial, las

características deseadas de inversión, los portafolios de servicios

relacionados, considerar las diferentes categorías de inversión y

recursos y las restricciones de financiación. Evaluar, priorizar y

equilibrar programas y servicios, gestionar la demanda con los

recursos y restricciones de fondos, basados en su alineamiento con

los objetivos estratégicos así como en su valor y riesgo corporativo.

Mover los programas seleccionados al portafolio de servicios

activos listos para ser ejecutados. Supervisar el rendimiento global

del portafolio de servicios y programas, proponiendo ajustes si

fuesen necesarios en respuesta al rendimiento de programas y

servicios o al cambio en las prioridades corporativas.

Declaración del

Propósito del

Proceso

Optimizar el rendimiento del portafolio global de programas en

respuesta al rendimiento de programas y servicios y a las

cambiantes prioridades y demandas corporativas.


APO05-O1 Se ha definido una mezcla apropiada de inversión alineada con la 1

93

estrategia corporativa.

APO05-O2 Fuentes de fondos de inversión identificados y están disponibles. 1

APO05-O3 Casos de negocio de programa evaluados y priorizados antes de que

se asignen los fondos. 1

APO05-O4 Existe una vista precisa y comprensiva del rendimiento de las

inversiones del portafolio. 1

APO05-O5 Los cambios en el programa de inversiones se reflejan en los

portafolios relevantes de servicios, activos y recursos de TI. 1

APO05-O6 Los beneficios han sido generados debido a los beneficios de la

monitorización. 1


APO05-BP1 Establecer la mezcla del objetivo de inversión. 0.0

APO05-BP2 Determinar la disponibilidad y las fuentes de fondos.

APO05-BP3 Evaluar y seleccionar los programas a financiar. 50.0

APO05-BP4 Supervisar, optimizar e informar sobre el rendimiento del portafolio

de inversiones. 0.0

APO05-BP5 Mantener los portafolios.

APO05-BP6 Gestionar la consecución de beneficios. 66.7


APO05-WP1 Mezcla de inversión definida -

APO05-WP2 Identificar recursos y capacidades necesarias para soportar la

estrategia no

APO05-WP3 Observaciones a la estrategia y a las metas no

94

APO05-WP4 Opciones de financiación -

APO05-WP5 Expectativas de retorno de inversión -

APO05-WP6 Casos de negocio de programa si

APO05-WP7 Evaluaciones de los casos de negocio no

APO05-WP8 Programas seleccionados con hitos del retorno de inversión (ROI) -

APO05-WP9 Informes de rendimiento del portafolio de inversiones -

APO05-WP10 Portafolios de programas, servicios y activos actualizados si

APO05-WP11 Resultados de los beneficios y comunicaciones relacionadas -

APO05-WP12 Acciones correctivas para mejorar la producción de beneficio no





el nivel 1. Teniendo en cuenta los objetivos de la empresa virtual IT-Expert, se debe

implementar de manera urgente el proceso Gestionar los recursos humanos.

Evaluación APO07

95

APO07 Gestionar los Recursos Humanos 23.3


Proporcionar un enfoque estructurado para garantizar

una óptima estructuración, ubicación, capacidades de

decisión y habilidades de los recursos humanos. Esto

incluye la comunicación de las funciones y

responsabilidades definidas, la formación y planes de

desarrollo personal y las expectativas de desempeño, con

el apoyo de gente competente y motivada.


Proceso

Optimizar las capacidades de recursos humanos para

cumplir los objetivos de la empresa.


APO07-O1 La estructura organizacional y las relaciones de TI son

flexibles y dan respuesta ágil. 1

APO07-O2 Los recursos humanos son gestionados eficaz y

eficientemente. 1


APO07-BP1 Mantener la dotación de personal suficiente y adecuado. 60.0

APO07-BP2 Identificar personal clave de TI. 50.0

APO07-BP3 Mantener las habilidades y competencias del personal. 14.3

APO07-BP4 Evaluar el desempeño laboral de los empleados. 28.6

APO07-BP5 Planificar y realizar un seguimiento del uso de recursos

humanos de TI y del negocio. 66.7

APO07-BP6 Gestionar el personal contratado. 50.0


96

APO07-WP1 Evaluaciones de requisitos de personal no

APO07-WP2 Planes de desarrollo de carrera y de competencias no

APO07-WP3 Planes de aprovisionamiento de personal no

APO07-WP4 Matriz de habilidades y competencias no

APO07-WP5 Planes de desarrollo de habilidades no

APO07-WP6 Revisión de informes si

APO07-WP7 Metas personales no

APO07-WP8 Evaluaciones de desempeño si

APO07-WP9 Planes de mejora no

APO07-WP10 Inventario de recursos humanos del negocio y de TI no

APO07-WP11 Análisis de deficiencias en la obtención de recursos no

APO07-WP12 Registros de utilización de recursos si

APO07-WP13 Políticas de contratación de personal -

APO07-WP14 Acuerdos contractuales -

APO07-WP15 Revisiones de acuerdos contractuales -





el nivel 1. Este Proceso será definido en la empresa, pues no se contempla en la

arquitectura empresarial de IT-Expert.

97

Evaluación APO08

APO08 Gestionar las Relaciones 29.4


Gestionar las relaciones entre el negocio y TI de

modo formal y transparente, enfocándolas hacia el

objetivo común de obtener resultados empresariales

exitosos apoyando los objetivos estratégicos y dentro

de las restricciones del presupuesto y los riesgos

tolerables. Basar la relación en la confianza mutua,

usando términos entendibles, lenguaje común y

voluntad de asumir la propiedad y responsabilidad en

las decisiones claves.


Proceso

Crear mejores resultados, mayor confianza en la

tecnología y conseguir un uso efectivo de los

recursos.


APO08-O1

Las estrategias, planes y requisitos de negocio están

bien entendidos,

documentados y aprobados.

1

APO08-O2 Existencia de buenas relaciones entre la empresa y

las TI. 1

APO08-O3 Las partes interesadas del negocio son conscientes

de las oportunidades

1

98

posibilitadas por la TI.


APO08-BP1 Entender las expectativas del negocio. 14.3

APO08-BP2 Identificar oportunidades, riesgos y limitaciones de TI

para mejorar el negocio. 20.0

APO08-BP3 Gestionar las relaciones con el negocio. 40.0

APO08-BP4 Coordinar y comunicar. 75.0

APO08-BP5 Proveer datos de entrada para la mejora continua de

los servicios. 0.0


APO08-WP1 Expectativas de negocio aclaradas y acordadas no

APO08-WP2 Acuerdo en los siguientes pasos y planes de acción no

APO08-WP3 Decisiones claves acordadas no

APO08-WP4 Estado de las quejas y del escalado si

APO08-WP5 Plan de comunicación si

APO08-WP6 Paquetes de comunicación si

APO08-WP7 Respuestas de los clientes no

APO08-WP8 Análisis de satisfacción no

APO08-WP9 Definición de proyectos de mejora potencial no



99



el nivel 1. Este nivel es el más alto del proceso y representa un nivel con objetivos y

metas altamente alcanzados.

Evaluación APO09

APO09 Gestionar los Acuerdos de Servicio 56.3


Alinear los servicios basados en TI y los niveles de

servicio con las necesidades y expectativas de la

empresa, incluyendo identificación, especificación,

diseño, publicación, acuerdo y supervisión de los

servicios TI, niveles de servicio e indicadores de

rendimiento.


Proceso

Asegurar que los servicios TI y los niveles de servicio

cubren las necesidades presentes y futuras de la

empresa.


APO09-O1 La empresa puede usar de modo efectivo los

servicios TI tal como se han definido en el catálogo. 1

APO09-O2 Los acuerdos de servicio reflejan las capacidades y

necesidades de la TI 1

APO09-O3 Los servicios TI rinden como está estipulado en los 1

100

acuerdos de servicio.


APO09-BP1 Identificar servicios TI. 33.3

APO09-BP2 Catalogar servicios basados en TI. 66.7

APO09-BP3 Definir y preparar acuerdos de servicio. 80.0

APO09-BP4 Supervisar e informar de los niveles de servicio. 40.0

APO09-BP5 Revisar acuerdos de servicio y contratos. 100.0


APO09-WP1 Carencias identificadas de los servicios TI de cara al

negocio no

APO09-WP2 Definición de servicios estándar si

APO09-WP3 Definición de servicios si

APO09-WP4 Portafolio de servicios de actualizado si

APO09-WP5 Catálogos de servicio si

APO09-WP6 Acuerdos de nivel de servicio si

APO09-WP7 Acuerdos de nivel operativos (OLAs). si

APO09-WP8 Informes de rendimiento del nivel de servicio si

APO09-WP9 Planes de acción de mejora y remedio no

APO09-WP10 SLAs actualizados si



101



el nivel 1.

Evaluación APO10

APO10 Gestionar los Proveedores 41.2


Administrar todos los servicios de TI prestados por

todo tipo de proveedores para satisfacer las

necesidades del negocio, incluyendo la selección de

los proveedores, la gestión de las relaciones, la

gestión de los contratos y la revisión y supervisión

del desempeño, para una eficacia y cumplimiento

adecuados.


Proceso

Minimizar el riesgo de proveedores que no rindan y

asegurar precios competitivos.


APO10-O1 Los proveedores rinden según lo acordado. 1

APO10-O2 El riesgo de los proveedores se evalúa y trata

adecuadamente. TI. 1

APO10-O3 Las relaciones con los proveedores son eficaces. 1

102


APO10-BP1 Identificar y evaluar las relaciones y contratos con

proveedores. 50.0

APO10-BP2 Seleccionar proveedores. 50.0

APO10-BP3 Gestionar contratos y relaciones con proveedores. 42.9

APO10-BP4 Gestionar el riesgo en el suministro. 50.0

APO10-BP5 Supervisar el cumplimiento y el rendimiento del

proveedor. 50.0


APO10-WP1 Relevancia del contratista y criterios de evaluación -

APO10-WP2 Catálogo de proveedores si

APO10-WP3 Revisiones potenciales de los contratos con los

proveedores no

APO10-WP4 Roles y responsabilidades de los proveedores si

APO10-WP5 Procesos de revisión y comunicación si

APO10-WP6 Resultados y sugerencias de mejora no

APO10-WP7 Identificar el riesgo de entrega del proveedor no

APO10-WP8 Identificar requisitos contractuales para minimizar

riesgo -

APO10-WP9 Criterios de supervisión del cumplimiento de los

proveedores -

APO10-WP10 Resultados de las revisiones de la supervisión del

cumplimiento de os proveedores -

103

APO10-WP11 Solicitudes de Información (RFIs) y peticiones de

propuestas (RFPs) a proveedores -

APO10-WP12 Evaluaciones de RFIs y RFPs -

APO10-WP13 Resultados decididos tras las evaluaciones de

proveedores -




que la empresa IT-Expert en el proceso APO011 tiene un total de 34.8.6% de capacidad

en el nivel 1. Este nivel es alto de forma relativa, pero tiene un valor P-Parcialmente

alcanzado lo que nos indica que debe ser realizada la oportunidad de mejora con

urgencia, esta oportunidad de mejora será la definición del proceso que no existe en la

empresa IT-Expert.

Evaluación APO11

APO11 Gestionar la Calidad 34.8


Definir y comunicar los requisitos de calidad en todos

los procesos, procedimientos y resultados

relacionados de la organización, incluyendo

controles, vigilancia constante y el uso de prácticas

104

probadas y estándares de mejora continua y

esfuerzos de eficiencia.


Proceso

Asegurar la entrega consistente de soluciones y

servicios que cumplan con los requisitos de la

organización y que satisfagan las necesidades de las

partes interesadas.


APO11-O1

Las partes interesadas están satisfechas con la

calidad de los servicios

y las soluciones.

1

APO11-O2

Los resultados de los proyectos y de los servicios

entregados son

predecibles.

1

APO11-O3 Los requisitos de calidad están implementados en

todos los procesos. 1


APO11-BP1 Establecer un sistema de gestión de la calidad (SGC). 12.5

APO11-BP2 Definir y gestionar los estándares, procesos y

prácticas de calidad. 0.0

APO11-BP3 Enfocar la gestión de la calidad en los clientes. 16.7

APO11-BP4 Supervisar y hacer controles y revisiones de calidad. 71.4

APO11-BP5 Integrar la gestión de la calidad en la implementación

de soluciones y la entrega de servicios. 33.3

APO11-BP6 Mantener una mejora continua 42.9


105

APO11-WP1 Roles, responsabilidades y capacidades de decisión

del SGC. no

APO11-WP2 Planes de gestión de la calidad si

APO11-WP3 Resultados de la revisiones de eficacia del SGC no

APO11-WP4 Estándares de gestión de la calidad no

APO11-WP5 Requisitos de los clientes para la gestión de la calidad no

APO11-WP6 Criterios de aceptación si

APO11-WP7 Revisión de los resultados de la calidad de los

servicios, incluyendo la opinión de los clientes. si

APO11-WP8 Resultados de las revisiones y auditorias de calidad si

APO11-WP9 Metas y métricas del proceso de calidad de los

servicios si

APO11-WP10 Resultados de la supervisión de la calidad de los

servicios y las soluciones entregados si

APO11-WP11 Causas raíz de los fallos en la calidad de la entrega no

APO11-WP12 Comunicaciones sobre las mejores prácticas y la

mejora continua no

APO11-WP13 Ejemplos de las mejores prácticas para ser

compartidos. no

APO11-WP14 Resultados de revisiones de análisis comparativos de

la calidad si



106


que la empresa IT-Expert en el proceso APO012 tiene un total de 38.0% de capacidad

en el nivel 1.Este resultado nos muestra que debemos implementar el proceso en la

empresa.

Evaluación APO12

APO12 Gestionar el Riesgo 38.0


Identificar, evaluar y reducir los riesgos relacionados

con TI de forma continua, dentro de niveles de

tolerancia establecidos por la dirección ejecutiva de

la empresa.


Proceso

Integrar la gestión de riesgos empresariales

relacionados con TI con la gestión de riesgos

empresarial general (ERM) y equilibrar los costes y

beneficios de gestionar riesgos empresariales

relacionados con TI.


APO12-O1 El riesgo relacionado con TI está identificado,

analizado, gestionado y reportado. 1

APO12-O2 Existe un perfil de riesgo actual y completo. 1

107

APO12-O3 Todas las acciones de gestión para los riesgos

significativos están gestionadas y bajo control. 1

APO12-O4 Las acciones de gestión de riesgos están

efectivamente implementadas. 1


APO12-BP1 Recopilar datos. 42.9

APO12-BP2 Analizar el riesgo. 57.1

APO12-BP3 Mantener un perfil de riesgo. 57.1

APO12-BP4 Expresar el riesgo. 20.0

APO12-BP5 Definir un portafolio de acciones para la gestión de

riesgos. 66.7

APO12-BP6 Responder al riesgo. 50.0


APO12-WP1 Datos en el entorno de operación relacionados con el

riesgo no

APO12-WP2 Datos en eventos de riesgo y en factores

contribuyentes no

APO12-WP3 Elementos y factores de riesgo emergentes no

APO12-WP4 Alcance de los esfuerzos de análisis de riesgos si

APO12-WP5 Escenarios de riesgo de TI si

APO12-WP6 Resultados de análisis de riesgos si

APO12-WP7 Escenarios de riesgo documentados por línea de

negocio y función no

108

APO12-WP8 Perfil de riesgo agregado, incluyendo el estado de las

acciones de gestión del riesgo si

APO12-WP9 Análisis de riesgos e informes del perfil de riesgos

para las partes interesadas no

APO12-WP10 Revisión de resultados de evaluaciones de riesgos de

terceras partes no

APO12-WP11 Oportunidades para la aceptación de un riesgo mayor no

APO12-WP12 Propuestas de proyecto para reducir el riesgo si

APO12-WP13 Planes de respuesta para incidentes relacionados

con el riesgo si

APO12-WP14 Comunicaciones del impacto del riesgo no

APO12-WP15 Causas raíz relacionadas con el riesgo no





el nivel 1. Un nivel muy bajo para este proceso, esto requiere una definición del proceso

ya que no se encuentra dentro de los procesos de la empresa IT-Expert.

109

Evaluación APO13

APO13 Gestionar la Seguridad 27.1

Descripción del Proceso Definir, operar y supervisar un sistema para la

gestión de la seguridad de la información.


Proceso

Mantener el impacto y ocurrencia de los incidentes

de la seguridad de la información dentro de los

niveles de apetito de riesgo de la empresa.


APO13-O1

Está en marcha un sistema que considera y trata

efectivamente los

requerimientos de seguridad de la información de la

empresa.

1

APO13-O2

Se ha establecido, aceptado y comunicado por toda la

empresa un plan

de seguridad.

1

APO13-O3

Las soluciones de seguridad de la información están

implementadas y

operadas de forma consistente en toda la empresa.

1


APO13-BP1 Establecer y mantener un SGSI. 0.0

APO13-BP2 Definir y gestionar un plan de tratamiento del riesgo

de la seguridad de la información. 28.6

APO13-BP3 Supervisar y revisar el SGSI. 40.0


110

APO13-WP1 Política de SGSI si

APO13-WP2 Declaración de alcance del SGSI no

APO13-WP3 Plan de tratamiento de riesgos de seguridad de la

información si

APO13-WP4 Casos de negocio de seguridad de información no

APO13-WP5 Informes de auditoría del SGSI no

APO13-WP6 Recomendaciones para mejorar el SGSI no


Resumen de calificación de la capacidad actual de los procesos seleccionados

Descripción: Resumen de la calificación de la capacidad actual de los procesos

seleccionados. Este cuadro reúne el alcance en valores cuantitativo el alcance en el nivel

1 de los procesos en el domino APO. Cada valor de alcance está representado por letras

que a su vez son la representación de cada rango porcentual del alcance alcanzado por

proceso.

Propósito: Mostrar de manera resumida el nivel de capacidad de cada proceso, así

como, la escala obtenida. Esto nos brinda una visión general del alcance de cada

proceso en el nivel uno.

Nivel Valor Descripción

N 0%-15% No Alcanzado

P 15%-50% Parcialmente Alcanzado

L 50%-85% Ampliamente Alcanzado

F 85%-100% Completamente Alcanzado

111

Asimismo, nos indica los procesos en que la empresa obtiene un nivel muy bajo y alto,

las partes en que debemos trabajar más y en las que estamos con un buen nivel de

capacidad.

Alcance: Solo se consideraron los procesos seleccionados y el nivel 1 de capacidad

Tabla 11: Calificación de la capacidad actual de los procesos seleccionados

Calificación de la capacidad actual de los procesos seleccionados

Nivel de Capacidad del Proceso

ID

Proceso

Nombre del Proceso ¿En el

alcance?

Nivel

0

Nivel

1

Nivel

2

Nivel

3

Nivel

4

Nivel

5

Ali

nea

r, P

lan

ear

y O

rgan

izar

APO01 Gestionar el Marco de Gestión de TI SI P

APO02 Gestionar la Estrategia SI P

APO03

Gestionar la Arquitectura

Empresarial SI N

APO04 Gestionar la Innovación SI N

APO05 Gestionar Portafolio SI P

APO06 Gestionar el Presupuesto y los Costes NO

APO07 Gestionar los Recursos Humanos SI P

APO08 Gestionar las Relaciones SI P

APO09 Gestionar los Acuerdos de Servicio SI L

APO10 Gestionar los Proveedores SI P

APO11 Gestionar la Calidad SI P

APO12 Gestionar el Riesgo SI P

N 0%-15% P 15%-50% L 50%-85% F 85%-100%

112

APO13 Gestionar la Seguridad SI P

Fuente: Elaboración propio

Para esta fase se concluye que el valor actual de la empresa IT-Expert en el nivel 1 de

los niveles de capacidad de COBIT enfocados en los procesos que el marco propone , en

este caso el primer nivel de gestión APO, es muy bajo, pues en 9 de los 12 proceso que

se están considerando tiene un nivel de capacidad de P-Parcialmente alcanzado, en los

procesos 3 y 4 los niveles alcanzados son N-No alcanzado y solo un proceso, el proceso

9, tiene un nivel L-Altamente alcanzado. Esta información es la entrada para poder

definir el nivel de capacidad deseado en todos los procesos APO y las oportunidades de

mejora que deben realizarse mediante el plan de implementación para la empresa IT-

Expert.

113

FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL

ESTADO FUTURO DESEADO

En esta fase se establecen los objetivos de mejora en base a un análisis de brechas entre

el nivel de capacidad actual de los procesos y el deseado, el estado actual de la empresa

se obtiene mediante una evaluación de nivel de capacidad mediante la herramienta PAM

del marco de referencia COBIT 5. Algunas de las soluciones propuestas serán

fácilmente aplicables, mientras que otras serán un reto. Es necesario priorizar las

soluciones que son más fáciles de alcanzar y que aparentemente aportan mayores

beneficios. Posteriormente se debe describir un plan de alto nivel con las potenciales

soluciones.

NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS

Descripción: Diagrama que indica el nivel de capacidad deseado en cada proceso.

Propósito: Mostrar la brecha entre la nivel actual y el nivel deseado.

Alcance: Solo se consideraron los procesos seleccionados.

Como primera actividad de esta fase se ha definido cuál va a ser el nivel de capacidad

que se quiere lograr alcanzar mediante este proyecto. Se ha tomado en cuenta los

procesos evaluados en la fase anterior, es decir, los que tienen una relación del tipo

primario con logro de las metas relacionadas a TI. En el gráfico a continuación, se

puede observar el nivel de capacidad actual de los procesos dentro del alcance y el

nivel deseado para cada uno de ellos.

Ilustración 17: Nivel de capacidad de los procesos de la empresa IT-Expert

114


Se puede apreciar que la mayoría de los procesos tienen una calificación P

(Parcialmente Alcanzado) a excepción del proceso APO09 en el nivel de capacidad

uno. Según el modelo de evaluación elegido (PAM), para alcanzar un nivel de

capacidad dos es necesario primero tener una calificación L (Largamente Alcanzado) o

F (Completamente Alcanzado) en el nivel de capacidad uno. Por ese motivo, se ha

decidido que el nivel de capacidad deseado es el nivel uno, pero con una calificación

aprobatoria necesaria para que en un futuro se pueda apuntar al nivel siguiente. Lo que

se quiere alcanzar al finalizar este proyecto es que los procesos obtengan una

calificación F en el nivel uno de capacidad.

LISTA DE OPORTUNIDADES DE MEJORA

Descripción: Contiene la relación de oportunidades de mejoras obtenidas del análisis de

brechas de los niveles de capacidad actuales y deseados.

Propósito: La implementación de las oportunidades de mejora sirve para alcanzar el

nivel de capacidad deseado.

NIVEL DESEADO

NIVEL ACTUAL

115

Alcance: Propuestas de mejora para todos los procesos del dominio APO

Para alcanzar la calificación definida en el punto anterior, se han identificado una serie

de oportunidades de mejora, las cuales serán listadas en el siguiente cuadro.

Tabla 12: Lista de oportunidades de mejora para la empresa IT-EXPERT

CODIGO NOMBRE DESCRIPCION

OP01 Rediseño del modelo de

procesos

Se rediseñan los procesos ya implementados en la empresa,

teniendo en cuenta las prácticas de gestión propuestas por COBIT

5. Así como otros marcos de referencias y estándares con los

cuales se relaciona COBIT.

OP02 Modelado de procesos Se modelaran los procesos que no se encuentren definidos como

parte de la propuesta del modelo de gestión.

OP03 Definición de políticas Se crearan las políticas necesarias para la supervisión y control

del cumplimiento de los objetivos estratégicos y el alineamiento

de estos objetivos con los objetivos de TI.

OP04 Creación de plantillas de

entregables

Elaboración de plantillas de los entregables sugeridos por COBIT

para cada proceso de gestión con el fin de facilitar la

implementación del modelo propuesto.

OP05 Implementación de un

sistema de gestión de

calidad

Conjunto de procedimientos documentados necesarios para

implantar la Gestión de la Calidad, partiendo de una estructura

organizativa y de unos recursos determinados. Basado en la ISO

9001

OP06 Implementación de un

sistema de seguridad de la

información

Conjunto de políticas sobre la gestión de la información, Basado

en la ISO 27001


116

Algunas de las mejoras afectan a varios procesos, mientras que otras solo ayudan a

mejorar la calificación de ciertos procesos específicos. A continuación, se muestra el

alcance con relación a los procesos de cada una de las oportunidades de mejoras

identificadas.

Tabla 13: Mapeo Procesos APO - Oportunidades de Mejora de la empresa IT-Expert

Mapeo Procesos APO - Oportunidades de Mejora

Oportunidades de mejora

Procesos OP01 OP02 OP03 OP04 OP05 OP06

APO01

APO02

APO03

APO04

APO05

APO07

APO08

APO09

APO10

APO11

APO12

APO13


Ahora que se cuenta con las oportunidades de mejora identificadas, es necesario

priorizarlas. Para esto, se definido utilizar un método de priorización basado en la

117

dificultad de la implantación y el impacto en la organización. De esta manera, se logrará

identificar que oportunidades de mejora son las que son más fáciles de aplicar y mejores

beneficios aportan.

Dificultad de la Implantación

La dificultad en la implantación de una acción de mejora puede ser un factor clave a

tener en cuenta, puesto que puede llegar a determinar la consecución, o no, del mismo.

Se procederá a priorizarlas de menor a mayor grado de dificultad.

Dificultad

1 MUCHA 2 BASTANTE 3 POCA 4 NINGUNA

Impacto en la Organización

Se define como el resultado de la actuación a implantar, medido a través del grado de

mejora conseguido (un cambio radical tiene un impacto mucho mayor que pequeños

cambios continuos). Es importante también tener en cuenta el grado de despliegue al

que afecta la medida. Si ésta afecta a varias titulaciones su impacto será mayor y la

prioridad también deberá serlo.

Impacto

1 NINGUNO 2 POCO 3 BASTANTE 4 MUCHO

Prioridad de la Mejora

La prioridad será calcula mediante la suma del valores determinados de la dificultad de

implantación y el impacto en la organización de la oportunidad de mejora.

PRIORIDAD = DIFICULTAD + IMPACTO

118

A continuación se muestra el resultado de aplicar este método de priorización, del cual

se puede apreciar que las oportunidades de mejora con un nivel de prioridad alto son:

“OP01-Rediseño del modelo de procesos de procesos” y “OP02-Modelado de

procesos”.

Tabla 14: Priorización de oportunidades de mejora para la empresa IT-Expert

Priorización de oportunidades de mejora

Procesos Dificultad Impacto Prioridad

OP01 4 4 8

OP02 3 4 7

OP03 1 3 4

OP04 2 3 5

OP05 1 3 4

OP06 1 3 4


CUADRO INTEGRADO DE MEJORA

Descripción: Cuadro de resumen que integra la calificación del nivel de capacidad

actual de los procesos, el nivel deseado y las oportunidades de mejora identificadas en

el punto anterior.

Propósito: Mostrar de manera resumida los tres puntos anteriormente desarrollados.

Alcance: solo se utilizaron como datos de entrada los tres puntos anteriormente

desarrollados.

119

El siguiente cuadro muestra nos da una visión global de todo lo desarrollado en esta

fase. Se puede apreciar la calificación del nivel de capacidad evaluado de cada proceso,

así como, la calificación del nivel deseado. También, se aprecia las oportunidades de

mejoras y su impacto sobre los procesos a mejorar, así como, su prioridad en base al

color de cada una.

120

Tabla 15: Cuadro integrado de mejora para la empresa IT-Expert

Cuadro integrado de mejora

ID Proceso Nombre del Proceso Oportunidades de mejora Nivel 1

Nivel

2

Nivel

3

Nivel

4

Nivel

5 Nivel Deseado

Alin

ear,

Pla

near

y O

rgan

izar

APO01 Gestionar el Marco de Gestión de TI OP01 OP03 OP04

P Nivel 1 (F)

APO02 Gestionar la Estrategia OP02 OP03 OP04

P Nivel 1 (F)

APO03 Gestionar la Arquitectura Empresarial OP01 OP03 OP04

N Nivel 1 (F)

APO04 Gestionar la Innovación OP01 OP03 OP04

N Nivel 1 (F)

APO05 Gestionar Portafolio OP01 OP03 OP04

P Nivel 1 (F)

APO07 Gestionar los Recursos Humanos OP02 OP04

P Nivel 1 (F)

APO08 Gestionar las Relaciones OP01 OP03 OP04

P Nivel 1 (F)

APO09 Gestionar los Acuerdos de Servicio OP01 OP03 OP04

L Nivel 1 (F)

APO10 Gestionar los Proveedores OP01 OP03 OP04

P Nivel 1 (F)

APO11 Gestionar la Calidad OP02 OP04 OP05

P Nivel 1 (F)

APO12 Gestionar el Riesgo OP02 OP04

P Nivel 1 (F)

APO13 Gestionar la Seguridad OP02 OP03 OP04 OP06

P Nivel 1 (F)


Leyenda

OP

Número de la oportunidad de mejora asociado es de alto nivel

OP

Número de la oportunidad de mejora asociado es de medio nivel

OP

Número de la oportunidad de mejora asociado es de bajo nivel

121

PLAN DE MEJORAMIENTO DE ALTO NIVEL

Descripción: Plan de alto nivel para la implementación de las mejoras identificadas en

el análisis de brechas.

Propósito: Sirve de guía para el desarrollo de un plan de implementación detallado de

las mejoras e identificadas

Alcance: Abarca la implementación de las oportunidades de mejora OP01 “Rediseño

del modelo de procesos de procesos”, OP02 “Modelado de procesos” y OP4 “Creación

de plantillas de entregables”

Una vez priorizadas las oportunidades de mejoras, se realiza un plan de mejoramiento

de alto el cual debe contener la hoja de ruta que indicará cuándo y cuánto tiempo tomará

la implantación de cada oportunidad de mejora presentes en el alcance del plan. El

alcance del plan de mejoramiento abarca las oportunidades de mejora: “OP01-Rediseño

del modelo de procesos de procesos”, “OP02-Modelado de procesos” y “OP04-

Creación de plantillas de entregables “, las cuales se desarrollarán en el ciclo académico

2014-2 según la siguiente hoja de ruta.

Tabla 16: Hoja de ruta del proyecto IMGETI

Hoja de ruta

Semana

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

OP01

OP02

OP04

Fuente: Elaboración Propia

Las oportunidades de mejoras principales son el resultado de haber realizado una

evaluación teniendo en cuenta la dificultad de la implementación de la oportunidad de

122

mejora y el impacto positivo que puede causar está a la empresa IT-Expert. En esta fase

se crea un plan de mejoramiento de alto nivel que contiene las oportunidades de mejoras

principales obtenidas, para luego definir planes o programas de mejoras específicos que

luego de una evaluación serán puestos en marcha en la fase cinco. Cada plan o

programa de mejora detallado está relacionado a los diferentes habilitadores del modelo

COBIT5. En este sentido, el plan de mejora detallado que brinde mayor valor y facilite

el cumplimento de los objetivos de la empresa será el elegido para la implementación.

123

FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS

BRECHAS

La fase cuatro del proyecto IMGETI se enfoca en la definición de los planes de mejora

detallados o programas que se proponen para la empresa IT-Expert a partir de las

soluciones de alto nivel. Además, en este proceso se define cuál de estos programas

propuestos provee mayor valor a la empresa y que ayude al cumplimiento de los

objetivos estratégicos, con la priorización de las iniciativas potenciales se deben

desarrollar proyectos de grandes beneficios y fáciles de implementar. Además, con el

fin de evitar la duplicación de esfuerzos se debe mantener reuniones con los Jefes de

diferentes proyectos y la gerencia de IT-Expert.

Priorizar las iniciativas potenciales

Para realizar la justificación del proyecto IMGETI se definen con la Gerencia de la

empresa que procesos van a ser revisados sin cruzar información con los diferentes

proyectos que se implementaran. La empresa cuenta con dos procesos, Gestión de

Riesgo y Gestión de Servicios, existentes que serán redefinidos e implementados por un

proyecto. Además, hay otros proyectos relacionados a la Seguridad de Información y

Arquitectura empresarial de IT-Expert que usaran diferentes Marcos de referencias,

Normas o Frameworks.

Finalmente existe un proyecto que implementara el dominio de DSS (Entregar, dar

Servicio y Soporte) de COBIT 5, para este último se tuvo en cuenta un grupo de

actividades y reuniones que ayudan a tener los proyectos con el marco COBIT 5

alineados y comunicados.

Para el resto de proyectos se realiza una matriz que describe la relación que hay entre

COBIT5 y las diferentes herramientas utilizadas por estos proyectos. Ya que COBIT 5

es un marco de referencia que en su desarrollo consideró estándares y marcos de

referencia24, se realizó un mapeo de herramientas para entender la relación e

24 “COBIT 5 se desarrolló teniendo en cuenta un número considerable de estándares y

marcos de referencia” Cfr. COBIT Un marco de negocio para el gobierno y la gestión

de las TI de la empresa 2012:60

124

integración entre la parte estratégica de la empresa y los proyectos de implementación

que no están basados en COBIT 5.

Tabla 17: Mapeo de COBIT5 vs Herramientas

COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS

APO01 Gestionar el

marco de

gestión de TI

3.1

Responsabilidad

de la dirección

4.4 Mejora

continua

6. Organización

de la Seguridad

de la

Información

25. 7 Pasos para

la Mejora de

Procesos

APO02 Gestionar la

estrategia

4.0 Planificación

e

implementación

de la gestión del

servicio

5.0 Planificación

e

implementación

de servicios

nuevos o

modificados

1 Creación de la

Estrategia

125


APO03 Gestionar la

arquitectura

empresarial

El núcleo de

TOGAF es el

Método de

Desarrollo de la

Arquitectura

(ADM

Architecture

Development

Method en

inglés) que está

relacionado con

las prácticas de

desarrollo de una

visión de la

arquitectura

(ADM Fase A),

con la definición

de arquitecturas

de referencia

(ADM Fases B, C,

D), con la

selección de

oportunidades y

soluciones (ADM

Fase E) y con la

definición de la

implementación

de la

arquitectura

(ADM Fases F,

126


G). Varios de los

componentes de

TOGAF se

corresponden

con las prácticas

de COBIT 5 de

provisión de

servicios de

arquitectura

empresarial.

Entre ellas se

incluyen la

Gestión de

Requerimientos

ADM, Principios

de la

Arquitectura,

Gestión de

Partes

Interesadas,

Evaluación de la

Preparación para

la

Transformación

del Negocio,

Gestión de

Riesgos,

Planificación

Basada en

Capacidad,

127


Cumplimiento de

Arquitectura y

Contratación en

Arquitectura.

APO04 Gestionar la

innovación

APO05 Gestionar el

portafolio

3.1

Responsabilidad

de la Dirección

4.0 Planificación

e

implementación

de la gestión del

servicio

5.0 Planificar e

3. Gestión del

Portafolio de

Servicios

Marco de

Habilidades para

la Era de la

Información

(Skills

Framework for

the Information

Age, SFIA)

128


implementar

servicios nuevos

o modificados

APO06 Gestionar el

presupuesto y

los costes

1.4.

Presupuestar y

contabilizar los

servicios de TI

2. Gestión

Financiera

APO07 Gestionar los

recursos

humanos

8. Seguridad de

los Recursos

Humanos

SFIA - Referencia

de habilidades

APO08 Gestionar las

relaciones

7.2 Gestión de

las relaciones

con el negocio

2 Gestión de la

Demanda

APO09 Gestionar los

acuerdos de

servicio

5.0 Planificar e

implantar

servicios nuevos

o modificados

6.0 Gestión del

nivel del servicio

2. Gestión de la

Demanda

3. Gestión de la

Cartera de

Servicios

5. Gestión del

Catálogo de

Servicios

6. Gestión del

Nivel del Servicio

26. Informes del

129


Servicio

APO10 Gestionar los

proveedores

7.3 Gestión de

proveedores

11. Gestión de

proveedores

Cuerpo de

Conocimiento de

Gestión de

Proyectos

(Project

Management

Body of

Knowledge -

PMBOK)

Procesos de

adquisiciones del

PMBOK

APO11 Gestionar la

calidad

ISO/IEC

9001:2008

130


APO12 Gestionar el

riesgo

ISO/IEC

27002:2011

ISO/IEC

27001:2005

Sistemas de

gestión de la

seguridad de

información—

Requerimientos,

Sección 4

ISO/IEC 31000 6.

Procesos para la

Gestión del

Riesgo

APO13 Gestionar la

seguridad

ISO/IEC

27002:2011

Diseño de

Servicio, 4.7

Gestión de la

Seguridad de la

Información.

ISO/IEC

27001:2005

Sistemas de

gestión de la

seguridad de

información—

Requerimientos,

Sección 4

NIST (National

Institute of

Standards and

Technology)

SP800-53

Controles de

Seguridad

Recomendados

para Sistemas de

Información

131


Federales de

EE.UU.


Mediante esta tabla de relación que hay entre el Marco de referencia COBIT5 y las

demás herramientas Se podrá obtener la relación que existe entre las herramientas

usadas por los diferentes proyectos de la empresa IT-Expert y el proyecto IMGETI

basado en COBIT5 y así ver cómo se puede trabajar de forma integral con los demás

proyectos. Luego de realizar una reunión con los demás proyectos y coordinar con la

gerencia de IT-Expert y el Cliente Gerente se definieron los procesos que se

propusieron en el proyecto IMGETI:

Oportunidades de Mejora

Modelo de procesos

Gestionar el marco gestión de TI

Rediseño de modelo de procesos

Gestionar la arquitectura empresarial

132

Gestionar Portafolio

Gestionar los Recursos Humanos

Cada proceso representa un plan de mejora detallado, la selección de estos procesos fue

el resultado de reuniones en las que se tomó en cuenta principalmente el valor que su

implementación daría a la empresa. A continuación se presentarán las definiciones de

procesos que se proponen a la empresa IT-Expert, las cuales han sido revisadas por la

empresa de apoyo Quality Services. La definición de procesos del segundo nivel están

anexadas en el documento, estos procesos presentan la las actividades correspondientes

al modelo COBIT5.

Procesos propuestos para implementación

DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN

DE TI

Descripción

Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar

y mantener mecanismos y autoridades para la gestión de la información y el uso de TI

en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y


Propósito

Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de

gobierno corporativo e incluya procesos de gestión, estructuras, roles y

responsabilidades organizativos, actividades fiables y reproducibles y habilidades y

competencias.

Alcance

Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la

empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO

(Alinear Planear y Organizar)

133

Descripción del proceso

Declarativa

El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en

la gestión del marco de gestión de TI.

Definir la estructura organizativa.

Establecer roles y responsabilidades.

Mantener los elementos catalizadores del sistema de gestión.

Comunicar los objetivos y la dirección de gestión.

Optimizar la ubicación de la función de TI.

Definir la propiedad de la información (datos) y del sistema.

Gestionar la mejora continua de los procesos.

Mantener el cumplimiento con las políticas y procedimientos.

Roles

Los roles de la empresa que intervienen en el presente proceso serán detallados en el

siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y

el área funcional a la que pertenece.

Rol Descripción Área funcional

Gestor de

arquitectura de TI

Implementar la redefinición de

procesos. Rediseño de procesos

priorizando las iniciativas para la

mejora del proceso y rediseñar los

procesos para cumplir con las políticas

y procedimientos.

Operaciones

Analista de riesgos Aplicar las medidas necesarias para

mantener un control de riesgos,

Riesgo de operaciones

134


garantizar un adecuado control en los

procesos.

Analista de

seguridad

Aplicar los objetivos de TI a la

seguridad de información en la

empresa, las medidas de mejora para la

seguridad de información y adoptar las

acciones necesarias para realizar los

procesos relacionados a la seguridad

de información adoptando las políticas

y procedimientos propuestos.

Seguridad de información

Gerente alumno Encargado de desarrollar diferentes

actividades como desarrollar las

actividades en la definición,

alineación y el establecimiento de una

estructura organizativa, definir los

roles y las responsabilidades, integrar

los principios de TI con los del

negocio entre otras actividades.

Gerencia

Gerente de

servicios

Considerar las maneras de mejorar la

eficiencia mediante la priorización de

acciones para realizar la mejora

continua y adoptar las acciones

necesarias para realizar el soporte de

servicios adoptando las políticas y

procedimientos propuestos.

Gerencia

Stakeholders

Todos los involucrados en el presente proceso y sus respectivas descripciones son

mencionados a continuación

Stakeholder Descripción

Comité Toma de decisiones y gobierno de la empresa IT-Expert

135

Gerente general Gerente de la empresa que requiere la información a nivel

estratégica desplegada para su consulta.

Gerente profesor Encargado de aprobación y consulta sobre los diferentes

procesos en la empresa IT-Expert

Entradas del proceso

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve

descripción y el encargado de elaborar el mismo.

Entradas Descripción Encargado de

Elaboración

Modelo de arquitectura de

procesos

Modelo de arquitectura de procesos para la definición

de procesos en la empresa IT-Expert.

Gobierno - Comité

Niveles de autoridad

asignados

Niveles de autoridad a cada usuario asignado a los

diferentes roles en la empresa IT-Expert.

Gobierno - Comité

Roles y responsabilidades

asignados

Roles, Perfiles y Responsabilidades asignados a los

diferentes procesos en la empresa IT-Expert.

Gerencia

Principios de gobierno

corporativo

Reglas de negocio con la cultura y principios por

parte del Gobierno y comité de las empresas.

Gobierno - Comité

Comunicación de gobierno

corporativo

Información con los diferentes requerimientos de

parte del Gobierno y comité de las empresas.

Gobierno - Comité

Principios, Comunicados y

Políticas

Principios, comunicados y políticas de la dirección

de la empresa por el Gobierno y comité de las

empresas.

Gobierno - Comité

Estrategia del negocio Estrategia de negocio de las empresa, contienen los

objetivos de negocio y requerimientos de las partes

interesadas.

Gobierno - Comité

Políticas y procedimientos Políticas y procedimientos para identificar los

procesos críticos.

Gerencia

136

Entradas Descripción Encargado de

Elaboración

Políticas y procedimientos Políticas y procedimientos para realizar el

seguimiento y cumplimiento de las obligaciones de

todos los empleados.

Gerencia

Salidas de proceso

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve

descripción y el encargado de elaborar el mismo.

Salidas Descripción Encargado

Definición de estructura y

funciones organizativas

Definición de funciones en la empresa IT-Expert,

definición de la estructura de la empresa IT-Expert.

Gerencia

Directrices operativas de la

organización

Normas y directrices de las operaciones internas en la

organización.

Gerencia

Reglas básicas de

comunicación

Reglas de negocio en la comunicación con el

Gobierno o comité de la empresa IT-Expert.

Gerencia

Definición de roles y

responsabilidades

Documento en el que se encuentra la definición de

roles y responsabilidades de cada empleado en la

empresa IT-Expert.

Gerencia

Políticas relativas a TI Reglas de negocio con la tecnología de información

dentro de la empresa.

Gerencia

Comunicación de objetivos

de TI

Documento con los objetivos de TI en la empresa. Riesgo de

operaciones

Definir la función

operacional de las funciones

de TI

Definición de las actividades y funciones que se

realizan a nivel operacional relacionadas a TI.

Gerencia

137

Salidas Descripción Encargado

Evaluación de las opciones

para la organización de TI

Opciones de la organización de TI para la empresa.

Incluye una evaluación de la estrategia empresarial.

Gerencia

Directrices para el control y

seguridad de datos

Políticas y reglas de negocio para realizar el control

y mantener segura la información.

Gerencia

Evaluación de capacidad de

procesos

Evaluación mediante las herramientas de Cobit5 para

obtener el nivel de capacidad de la empresa.

Gerencia

Objetivos y métricas de

rendimiento

Objetivos y métricas de rendimiento para el

seguimiento de la mejora de procesos

Operaciones

Acciones de remediación

para el no cumplimiento

Acciones apropiadas para la remediación del no

cumplimiento, esto incluye cambio de

requerimientos.

Gerencia

Caracterización

ID Entrada Actividad Salida Descripción Responsa

ble

A.0 … Inicio Necesidad de

Marco de

Gestión de TI

Necesidad de

Gestionar el Marco de

Gestión de TI

Gerente

alumno

A.1 Modelo de

arquitectura de

procesos

A.1.Definir la

estructura

organizativa.

Definición de

estructura y

funciones

organizativas /

Directrices

operativas de la

organización /

Reglas básicas

de

comunicación

Establecer una

estructura

organizativa interna y

extensa que refleje las

necesidades del

negocio y las

prioridades de TI.

Implementar las

estructuras de gestión

requeridas (p. ej.,

comités) para permitir

que la toma de

Gerente

alumno

138


ble

decisiones se lleve a

cabo de la forma más

eficaz y eficiente

posible.

A.2 Niveles de

autoridad

asignados /

Roles y

responsabilida

des asignados

Establecer roles

y

responsabilidad

es

Definición de

roles y

responsabilidad

es

Establecer, acordar y

comunicar roles y

responsabilidades del

personal de TI, así

como de otras partes

interesadas con

responsabilidades en

las TI corporativas,

que reflejen

claramente las

necesidades generales

del negocio y los

objetivos de TI, así

como la autoridad, las

responsabilidades y la

rendición de cuentas

del personal relevante.

Gerente

alumno

A.3 Principios de

gobierno

corporativo

Mantener los

elementos

catalizadores del

sistema de

gestión

Políticas

relativas a TI

Mantener los

elementos

catalizadores del

sistema de gestión y

del entorno de control

de la TI de la empresa

y garantizar que están

integrados y alineados

con la filosofía y el

estilo operativo de

Gerente

alumno

139


ble

gobierno y de gestión

de la empresa. Estos

elementos

catalizadores incluyen

una comunicación

clara de

expectativas/requisito

s. El sistema de

gestión debería

fomentar la

cooperación

interdepartamental y

el trabajo en equipo,

promover el

cumplimiento y la

mejora continua y

tratar las desviaciones

en el proceso

(incluidos los fallos).

A.4 Comunicación

de gobierno

corporativo /

Principios,

Comunicados

y Políticas

Comunicar los

objetivos y la

dirección de

gestión

Comunicación

de objetivos de

TI

Comunicar la

sensibilización y la

comprensión de los

objetivos y la

dirección de TI a las

partes interesadas y

usuarios pertinentes a

lo largo de toda la

empresa.

Gerente

alumno /

Analista de

riesgos /

Analista de

seguridad

140


ble

A.5 Estrategia del

negocio

Optimizar la

ubicación de la

función de TI

Definir la

función

operacional de

las funciones de

TI / valuación

de las opciones

para la

organización de

TI

Posicionar la

capacidad de TI en la

estructura

organizativa global

para reflejar en el

modelo de empresa la

importancia de TI en

la organización,

especialmente su

criticidad para la

estrategia empresarial

y el nivel de

dependencia de TI. La

línea de reporte del

CIO debe ser

proporcional a la

importancia de las TI

en la empresa.

Gerente

alumno

A.6 Necesidad de

definir la

propiedad de

la información

y del sistema

A.6.Definir la

propiedad de la

información y

del sistema

Directrices para

el control y

seguridad de

datos

Definir y mantener las

responsabilidades de

la propiedad de la

información (datos) y

los sistemas de

información.

Asegurar que los

propietarios toman

decisiones sobre la

clasificación de la

información y los

sistemas y su

protección de acuerdo

con esta clasificación.

Gerente

alumno

141


ble

A.7 Políticas y

procedimiento

s

Gestionar la

mejora continua

de los procesos

Evaluación de

capacidad de

procesos /

Objetivos y

métricas de

rendimiento

Evaluar, planificar y

ejecutar la mejora

continua de procesos

y su madurez para

asegurar que son

capaces de entregarse

conforme a los

objetivos de la

empresa, de gobierno,

de gestión y de

control. Considerar

las directrices de la

implementación de

procesos de COBIT,

estándares

emergentes,

requerimientos de

cumplimiento,

oportunidades de

automatización y la

realimentación de los

usuarios de los

procesos, el equipo

del proceso y otras

partes interesadas.

Actualizar los

procesos y considerar

el impacto en los

catalizadores del

proceso.

Gerente

alumno /

Gestor de

arquitectur

a de TI /

Gerente de

servicios /

Analista de

seguridad

142


ble

A.8 Políticas y

procedimiento

s

Mantener el

cumplimiento

con las políticas

y

procedimientos

Acciones de

remediación

para el no

cumplimiento

Poner en marcha

procedimientos para

mantener el

cumplimiento y

medición del

funcionamiento de las

políticas y otros

catalizadores del

marco de referencia;

hacer cumplir las

consecuencias del no

cumplimiento o del

desempeño

inadecuado. Seguir las

tendencias y el

rendimiento y

considerarlos en el

diseño futuro y la

mejora del marco de

control.

Gerente

alumno /

Gestor de

arquitectur

a de TI /

Gerente de

servicios /

Analista de

seguridad

A.9 Marco de

gestión de TI

Gestionado

Fin … Fin del proceso Gerente

alumno /

Gestor de

arquitectur

a de TI /

Gerente de

servicios /

Analista de

seguridad

Diagrama de proceso

Ilustración 18: Proceso Gestionar el Marco Gestión de TI – (Propuesta)

DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA

EMPRESARIAL

Descripción

Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y

mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la

empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los

principios rectores.

Propósito


gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades

organizativos, actividades fiables y reproducibles y habilidades y competencias.

Alcance

Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la empresa

IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear

y Organizar)


Declarativa

Establecer una arquitectura común compuesta por los procesos de negocio, la información,

los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y

eficiente para la realización de las estrategias de la empresa y de TI mediante la creación

de modelos clave y prácticas que describan las líneas de partida y las arquitecturas

objetivo.

Roles


siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el

área funcional a la que pertenece.

145


Gestor de la

Arquitectura

Es el encargado de asegurar la

integridad de la arquitectura, en

términos de abordar adecuadamente

todos los intereses de las partes

interesadas mediante compensaciones

eficientes (Por ejemplo, seguridad vs

rendimiento)

Área de Tecnologías de la

Información

STAKEHOLDERS




Gerente general de IT-Expert Tiene interés en que la arquitectura empresarial este alineada

con los objetivos de la empresa

Gestor de la Arquitectura Tiene la responsabilidad del diseño arquitectónico y la

documentación del modelo de referencia desde un perspectiva

más alta hasta un nivel netamente técnico


En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción

y el encargado de elaborar el mismo.

Entrada Descripción Encargado de Elaboración

Petición de Trabajo de

Arquitectura

Existe una necesidad de

realizar un cambio en la

arquitectura empresarial actual.

Encargado del área solicitante

Salidas del proceso

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción


146

Salida Descripción Encargado de Elaboración

Publicación de documentos

post-implementación

Es necesario, después de

implementar las soluciones que

permitieron alcanzar la

arquitectura objetivo, publicar

las guías de soporte y uso de la

arquitectura actualizadas, así

como, los reportes de los

indicadores establecidos

Gestor de la Arquitectura

Caracterización

ENTRADA ACTIVIDAD SALIDA DESCRIPCIÓN RESPONSABLE

0. Inicio

Petición de

Trabajo de

Arquitectura

Existe una necesidad de

realizar un cambio en la

arquitectura empresarial

Encargado del

área solicitante

Petición de

Trabajo de

Arquitectura

1. Desarrollar la

visión de la

arquitectura de

empresa

Visión de la

Arquitectura

Principios de

arquitectura

Se desarrolla la visión de la

arquitectura, la cual

proporciona una primera

descripción de alto nivel de

las arquitecturas de actual y

objetivo, cubriendo los

dominios de negocio,

información, datos,

aplicaciones y tecnología

Gestor de la

Arquitectura

Visión de la

Arquitectura

Principios de

arquitectura

2. Definir la

arquitectura de

referencia

Definición de

la arquitectura

Se define la arquitectura de

referencia, la cual describe

la situación actual y el

objetivo de la arquitectura

de manera más detallada

para los dominios negocio,

información, datos,

Gestor de la

Arquitectura

147

aplicaciones y tecnología

Definición de la

arquitectura

3. Seleccionar

las

oportunidades y

las soluciones

Plan de

implementació

n y migración

Se analizan las diferencias

entre las arquitecturas de

referencia y objetivo,

considerando tanto la

perspectiva técnica como la

del negocio y agrupándolos

a ambos en paquetes de

trabajo del proyecto

Gestor de la

Arquitectura

Plan de

implementación

y migración

4. Definir la

implantación de

la

arquitectura

Requisitos de

gobierno de la

arquitectura

Se detalla el plan de

implementación y de

migración validando que se

cuenten con los recursos

necesarios para su ejecución

Gestor de la

Arquitectura

Requisitos de

gobierno de la

arquitectura

5. Proveer los

servicios de

arquitectura

empresarial

Publicación de

documentos

post-

implementació

n

Abarca las guías y

supervisión de los proyectos

a implementar, así como, la

medición y comunicación

de los valores aportados por

la arquitectura

Gestor de la

Arquitectura

Publicación de

documentos

post-

implementación

6. Fin

Diagrama del proceso

Ilustración 19: Proceso Gestionar la Arquitectura Empresarial – (Propuesta)

148

DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO

Descripción

Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de

la arquitectura empresarial, las características deseadas de inversión, los portafolios de

servicios relacionados, considerar las diferentes categorías de inversión en recursos y las

restricciones de los mismos. Evaluar, priorizar y equilibrar programas y servicios,

gestionar la demanda con los recursos y restricciones de estos, basados en su alineamiento

con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los

proyectos seleccionados al portafolio de proyectos activos listos para ser ejecutados.

Supervisar el rendimiento global del portafolio de proyectos, proponiendo ajustes si fuesen

necesarios en respuesta al rendimiento de estos o al cambio en las prioridades de IT-

Expert.

Propósito

Optimizar el rendimiento del portafolio global de proyectos en respuesta al rendimiento de

estos y el valor que brinden a la empresa y a las cambiantes prioridades y demandas

corporativas.

Alcance

149

Muestra los procesos necesarios para la gestión de portafolios de proyectos para la empresa

IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear

y Organizar)


Declarativa

El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la

gestión de portafolios de proyectos.

Establecer la mezcla del objetivo de inversión

Determinar la disponibilidad y las fuentes de recursos

Evaluar y seleccionar los programas a realizar

Supervisar, optimizar e informar sobre el rendimiento del portafolio de proyectos

Mantener los portafolios

Gestionar la obtención de beneficios

Roles





Gerente alumno

Realiza funciones de relación entre el

proyecto y objetivos, realización del equilibro

en la inversión y el proyecto para establecer

una estrategia donde se alinean los objetivos

de los proyectos con el objetivo de la empresa

Gerencia

Establece la disponibilidad de los recursos

para los proyectos y determina la implicación

Gerencia

150

del uso de esto en cada proyecto

Realiza las actividades para identificar la

brecha entre el avance de los proyectos y

como estos responden al uso de recursos en la

empresa. Además, brinda un informe al

comité del avance de los proyectos para luego

determinar hitos, asignar recursos, registrar en

el portafolio de proyectos los proyectos

activos y aceptados

Gerencia

Encargado de realizar actividades para

supervisas los portafolios de proyectos y

evaluar posibles cambios en caso surgiesen

estos, controlar avance de los proyectos y

enviar para una revisión al comité

Gerencia

Crear y mantener los proyectos de IT-Expert,

delegar estos a responsables de servicios,

recursos humanos y Jefes de proyectos

Gerencia

Usar métricas para revisar avance de

proyectos, cumplimiento entre otros métodos

de evaluación e implementar acciones

correctivas

Gerencia

STAKEHOLDERS




Comité

Encargado de evaluar el avance de los proyectos y como

estos sustentan sus objetivos al alineamiento del objetivo

de la empresa IT-Expert

151

Evaluar el avance y cumplimiento de los proyectos con

respecto a sus resultados

Gerente profesor

El Gerente profesor se encarga de validar las inversiones

de recursos para los proyectos tomando como referencia el

alcance de estas

Verifica e identifica las opciones de recursos para los

proyectos

Encargado de establecer los procedimientos para la

evaluación de los proyectos luego del feedback del comité

para que estos se lleven a cabo de forma eficiente

Identificar la desviación del proyecto real y estimado para

evaluar la brecha de incumplimiento y evaluar el proyecto

bajo otras métricas de control

Eliminar proyectos alcanzados o superados

Considerar la orientación a expertos asesores o fuentes de

información para el apoyo a los proyectos con necesidad

de apoyo




Entrada Descripción Encargado de

Elaboración

Propuesta de proyecto Propuesta del proyecto a realizar para

la empresa IT-Expert Gerencia

Principios de la

empresa (objetivo,

misión visión)

Principios con el objetivo estratégico

de IT-Expert, la Misión y la Visión

de la empresa

Gerencia

152

Entrada Descripción Encargado de

Elaboración

Definición objetivo

estratégico de IT-

Expert

Objetivo estratégico de IT-Expert

para realizar la alineación con el

objetivo del proyecto mediante el uso

de la TI

Gerencia

Observaciones a la

estrategia y a las metas

del proyecto

Objetivos de los proyectos alineados

y bien integrados al objetivo

estratégico de IT-Expert

Gerencia

Expectativas de retorno

de inversión de

recursos

Información de resultados del

proyecto para la empresa IT-Expert

(Implementación de un Modelo,

Solución, Aplicativo, etc...)

Gerencia

Criterios de evaluación

Criterios para evaluar la los

beneficios del proyecto, los riesgos

del proyecto, el impacto del proyecto

en la empresa

Gerencia

Portafolio de proyectos Portafolio de proyectos aprobados

para desarrollar Gerencia

Feedback revisión de

portafolio de proyectos

Retorno con la evaluación de los

proyectos Comité

Portafolio de proyectos

Conjunto de proyectos con

información general de estos

(Avance, Objetivos, Indicadores,

etc...)

Gerencia

Resultados de

supervisión

Resultados de la supervisión de los

resultados de las métricas

establecidas en los proyectos

Gerencia

153

Salidas del proceso



Salida Descripción Encargado de

Elaboración

Observaciones a la

estrategia y a las metas

del proyecto

Objetivos de los proyectos alineados y

bien integrados al objetivo estratégico

de IT-Expert

Gerencia

Expectativas de retorno

de inversión de

recursos

Información de resultados del proyecto

para la empresa IT-Expert

(Implementación de un Modelo,

Solución, Aplicativo, etc...)

Gerencia

Comunicado de

proyectos a realizar

Portafolio de proyectos aprobados para

desarrollar Comité

Proyectos

seleccionados con hitos

y retorno de inversión

Proyectos con retorno de inversión de

recursos, con resultados positivos a

mejorar la empresa IT-Expert

Gerencia

Resultado de la

revisión del cambio

Información con el cambio realizado en

el proyecto y el ajuste realizado sin que

afecte la integración con el objetivo

estratégico de la empresa IT-Expert

Gerencia

Informe de rendimiento

de portafolios

Informe con avance real y planeado de

los proyectos con evidencia de las

actividades establecidas en el

cronograma

Gerencia

Dashboard métricas de

proyectos de

portafolios

Tablero de control del avance de los

proyectos a lo largo del ciclo Gerencia

Portafolio de proyectos

actualizados

Conjunto de proyectos con información

general de estos (Avance, Objetivos,

Gerencia

154

Salida Descripción Encargado de

Elaboración

Indicadores, etc..) actualizados

Acciones correcticas

implementadas

Ejecución de medidas de mitigación al

proyecto con resultados negativos Gerencia

Caracterización

ID Entrada Actividad Salida Descripción Responsable

C.0 … Inicio

Proyecto

propuesta /

Principios de

la empresa

(objetivo,

misión visión)

/ Definición

objetivo

estratégico de

IT-Expert

Inicio del proceso Gerencia

155


C.1

Proyecto

propuesta /

Principios de

la empresa

(objetivo,

misión visión)

/ Definición

objetivo

estratégico de

IT-Expert

Establecer la

mezcla del

objetivo de

inversión

Observaciones

a la estrategia

y a las metas

del proyecto

Revisar y

garantizar la

claridad de las

estrategias y

servicios actuales

corporativos y de

TI. Definir una

adecuada mezcla

de inversión,

basada en los

costes, la

alineación con la

estrategia y

medidas

financieras, tales

como coste,

retorno de

inversión esperado

a lo largo de todo

el ciclo de vida

económico, grado

de riesgo y tipo de

beneficio para los

programas del

portafolio. Ajustar

las estrategias

corporativas y de

TI cuando sea

necesario.

Gerencia

C.2

Observaciones

a la estrategia

y a las metas

del proyecto

Determinar la

disponibilidad

y las fuentes

de recursos

Expectativas

de retorno de

inversión de

recursos

Determinar las

fuentes potenciales

de fondos,

diferentes

opciones de

financiación y las

Gerencia

156


implicaciones de

las fuentes de

financiación sobre

las expectativas

del retorno de

inversión.

C.3

Criterios de

evaluación /

Comunicado

de proyectos a

realizar

Evaluar y

seleccionar

los proyectos

a realizar

Proyectos

seleccionados

con hitos y

retorno de

inversión

Decidir qué

proyectos

candidatos

deberían ser

trasladados al

portafolio de

proyectos activos.

Determinar si los

proyectos

rechazados

deberían ser

conservados para

ser considerados

en el futuro, o

provistos con

algún tipo de

inversión de

recursos para

determinar si el

caso de negocio

puede ser

mejorado o

descartado

Gerencia

157


C.4

Feedback

revisión de

portafolio de

proyectos

Supervisar,

optimizar e

informar

sobre el

rendimiento

del portafolio

de proyectos

Informe de

rendimiento de

portafolios /

Dashboard

métricas de

proyectos de

portafolios /

Resultado de

la revisión del

cambio

Regularmente,

supervisar y

optimizar el

rendimiento del

portafolio de

inversiones y de

los programas

individuales a lo

largo de todo el

ciclo de vida de

inversión.

Gerencia

C.5 Portafolio de

proyectos

Mantener los

portafolios

Portafolio de

proyectos

actualizados

Mantener los

portafolios de

programas y

proyectos de

inversión,

servicios de TI y

activos de TI.

Gerencia

C.6 Resultados de

supervisión

Gestionar la

obtención de

beneficios

Acciones

correcticas

implementadas

Supervisar los

beneficios de

proporcionar y

mantener servicios

y capacidades TI

apropiadas,

basadas en el caso

de negocio

acordado actual.

Gerencia

C.7

Acciones

correcticas

implementadas

Fin …

Gestión de

portafolios

realizado

Gerencia

158


Ilustración 20: Proceso Gestionar Portafolio – (Propuesta)

DEFINICIÓN DE PROCESO GESTIONAR LOS RECURSOS

HUMANOS

Descripción

Proporcionar un enfoque estructurado para garantizar una óptima estructuración,

ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la

comunicación de las funciones y responsabilidades definidas, la formación y planes de

desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y

motivada.

Propósito

Optimizar las capacidades de recursos humanos para cumplir los objetivos de la empresa.

Alcance

Muestra la estructura del proceso "Gestionar los recursos humanos" diseñado para la

empresa IT-Expert basado en el marco de referencia COBIT 5.

159


Declarativa


gestión de portafolios de recursos.

Mantener la dotación de personal

Mantener las habilidades y competencias

Realizar seguimiento del uso de recursos

Evaluar el desempeño

Roles





Jefe de Recursos

Humanos

Encargado de elaborar y controlar el

proceso de reclutamiento, selección,

ingreso e inducción del personal.

Proyectar y coordinar programas de

capacitación y entrenamiento para los

empleados, a fin de cumplir con los

planes de formación

Área de Recursos Humanos

STAKEHOLDERS




160

Gerente de proyectos Tiene interés en el uso eficiente de los recursos humanos

asignados a cada proyecto

Jefe de recursos humanos Es un socio estratégico en lo que respecta al vínculo con el

cliente interno y externo. Colabora para que cada empleado

mejore sus capacidades con el fin de generar un mayor valor

agregado en la organización





Necesidad de gestionar el

personal

Existe un necesidad de

administrar el personal de

manera óptima

Jefe de Recursos Humanos

Salidas del proceso




Plan de mejora del desempeño Plan basado en los resultados

del proceso de evaluación y los

requisitos de capacitación y

desarrollo de competencias

Jefe de Recursos Humanos

Caracterización


161


0. Inicio

Necesidad de

gestionar el

personal

Existe un necesidad de

administrar el personal de

manera óptima

Jefe de recursos

humanos

Necesidad de

gestionar el

personal

1. Mantener la

dotación de

personal

Personal

contratado

Se evalúa la capacidad de

los recursos humanos para

cumplir con los objetivos

empresariales

Jefe de recursos

humanos

Personal

contratado

2. Mantener las

habilidades y

competencias

Programas de

formación

ejecutados y

revisados

Se gestiona las habilidades

y competencias necesarias

del personal.

Jefe de recursos

humanos

Programas de

formación

ejecutados y

revisados

3. Realizar

seguimiento del

uso de recursos

Informes de

uso de recursos

Registrar el uso de los

recursos. Identificar las

carencias y proporcionar

datos de entrada a los planes

de aprovisionamiento

Jefe de recursos

humanos

Informes de uso

de recursos

4. Evaluar el

desempeño

Plan de mejora

del desempeño

Se realizan evaluaciones de

rendimiento respecto a los

objetivos individuales

derivados de los objetivos

empresariales

Jefe de recursos

humanos

Plan de mejora

del desempeño 5. Fin


Ilustración 21: Proceso Gestionar los Recursos Humanos – (Propuesta)

162

Se proponen cuatro planes de implementación detallados que parten de los procesos que

brindan mayor valor a la empresa IT-Expert, y que presentan mayor impacto en los

resultados obtenidos y que no conllevan mucha dificultad en su implementación. De los

cuatro planes de implementación detallados se identifica el más importante para su

implementación en la empresa IT-Expert. Los resultados del plan de implementación con

más valor y aceptación para la empresa IT-Expert es el relacionado al proceso “Gestionar

el marco de gestión de TI”, pues contiene los productos de trabajo con mayor facilidad de

habilitar el logro de los objetivos de TI.

163

FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR

EL PLAN DE IMPLEMENTACIÓN

En la fase cinco del proceso de implementación se ejecutan los programas priorizados. Este

programa plantea la implementación del proceso “Gestionar el marco de gestión de TI”. Se

debe mantener monitoreado y documentado la implementación de las mejoras adoptando y

adaptando las mejores prácticas enfocadas a IT-Expert y los cambios de las políticas y

procesos.

A continuación me muestra al detalle los productos de trabajo del plan o programa de

implementación de este proceso modelo propuesto por el COBIT 5 y aplicado en la

empresa IT-Expert.

Productos de Trabajo de la Implementación

El entregable de la implementación está compuesto por cinco productos de trabajo, estos

son: Políticas, Estructura organizativa, Modelo de procesos, Roles y Métricas. Estos

productos formaran parte de la información de IT-Expert y serán registrados en los

siguientes documentos de la empresa:

Tabla 18: Productos de trabajo del proyecto IMGETI

IMGETI

COD PRODUCTOS DE TRABAJO DOCUMENTO

WP1 Políticas Políticas de IT-Expert

WP2 Estructura Organización MOF

WP3 Modelo de procesos MEMORIA

WP4 Roles ROF

164

WP5 Métricas - Tablero de

indicadores FORM, Excel y Graficas

Fuente: Elaboración Propia

Los habilitadores o elementos que permiten activar el impulso a lograr los objetivos de TI

en la empresa propuestos por COBIT son:

Tabla 19: Habilitadores de COBIT5

COBIT 5

COD CATALIZADORES

CAT1 1.Principios políticas y marco de referencia

CAT2 2.Procesos

CAT3 3.Estructura Organizativa

CAT4 4.Cultura ética y comportamiento

CAT5 5.Información

CAT6 6.Servicios infraestructura y aplicaciones

CAT7 7.Personas habilidades y competencias


Estos habilitadores presentan la siguiente correspondencia con los productos de trabajo que

se entregan a IT-Expert.

Tabla 20: Productos de trabajo y Habilitadores

165

COBIT & IMGETI

COD

COBIT5

COD IMGETI

WP1 WP2 WP3 WP4 WP5

CAT1 X

CAT2 X

CAT3 X

CAT4

CAT5

CAT6 X

CAT7 X


Como se ve en la tabla, los productos de trabajo están se vinculan con los catalizadores que

COBIT propone. Esto significa que los elementos a implementar son habilitadores y que su

definición y manejo en adelante ayudara a lograr los objetivos de TI que hay en la empresa

IT-Expert.

A continuación se definen los productos del trabajo de la implementación del proceso.

MODELO DE PROCESOS

El modelo de procesos aplicado a la empresa IT-Expert toma como referencia el propuesto

por COBIT. Debido a que es un modelo de referencia, no se tomara en cuenta los procesos

que no estén vinculados al cumplimiento de los objetivos de IT-Expert.

Tabla 21: Modelo COBIT y Procesos Implementados

166

Modelo de proceso propuesto por COBIT5 Proceso Aterrizado e Implementado

COD Actividades Propuestos Actividades Implementadas en IT-Expert

APO1 A.1.Definir_la_estructura_organizativa.docx A.1.Definir la estructura organizativa.

APO3 A.3Mantener_los_elementos_catalizadores_del_sistema_de_gestión

A.2.Mantener los elementos catalizadores del sistema de

gestión

APO6 A.6.Definir_la_propiedad_de_la_información_y_del_sistema A.3.Definir la propiedad de la información y del sistema

APO4 A.4Comunicar_los_objetivos_y_la_dirección_de_gestión A.4.Comunicar los objetivos y la dirección de gestión

APO7 A.7.Gestionar_la_mejora_continua_de_los_procesos A.5.Gestionar la mejora continua de los procesos

APO8 A.8.Mantener_el_cumplimiento_con_las_políticas_y_procedimientos

A.6. Mantener el cumplimiento con las políticas y

procedimientos

APO2 A.2.Establecer_roles_y_responsabilidades.docx

APO5 A.5.Optimizar_la_ubicación_de_la_función_de_TI


La implementación del modelo de procesos cuenta con la propuesta del modelo mediante

el documento Definición de procesos y la ejecución de las actividades del proceso a lo

largo del ciclo de implementación, la salida de cada sub proceso del proceso “Gestionar el

marco de gestión de TI” implementado en IT-Expert se presentan a lo largo del presente

documento. A continuación se presenta la definición del proceso implementado en la

empresa IIT-Expert.

DEFINICION DEL PROCESO GESTIONAR EL MARCO DE

GESTIÓN DE TI

DESCRIPCIÓN

Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y

mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la

empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los

principios rectores.

167

PROPOSITO


gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades

organizativos, actividades fiables y reproducibles y habilidades y competencias.

ALCANCE

Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la

empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear

Planear y Organizar)

168

DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI

DECLARATIVA


gestión del marco de gestión de TI.

Definir la estructura organizativa

Mantener los elementos catalizadores del sistema de gestión

Definir la propiedad de la información y del sistema

Comunicar los objetivos y la dirección de gestión

Gestionar la mejora continua de los procesos

Mantener el cumplimiento con las políticas y procedimientos

ROLES





Arquitecto de TI Implementar la redefinición de procesos.

Rediseño de procesos priorizando las

iniciativas para la mejora del proceso y

rediseñar los procesos para cumplir con las

políticas y procedimientos.

Operaciones

Gestor de riesgos Aplicar las medidas necesarias para

mantener un control de riesgos, garantizar

un adecuado control en los procesos.


Gestor de la

seguridad

Aplicar los objetivos de TI a la seguridad de

información en la empresa, las medidas de

mejora para la seguridad de información y

adoptar las acciones necesarias para realizar


169

los procesos relacionados a la seguridad de

información adoptando las políticas y


Gerente alumno Encargado de desarrollar diferentes

actividades como desarrollar las actividades

en la definición, alineación y el

establecimiento de una estructura

organizativa, definir los roles y las

responsabilidades, integrar los principios de

TI con los del negocio entre otras

actividades.

Gerencia

Gerente de

servicios

Considerar las maneras de mejorar la


acciones para realizar la mejora continua y

adoptar las acciones necesarias para realizar

el soporte de servicios adoptando las

políticas y procedimientos propuestos.

Gerencia

STAKEHOLDERS




Comité Toma de decisiones y gobierno de la empresa IT-Expert

Gerente general Gerente de la empresa que requiere la información a nivel estratégica

desplegada para su consulta.

Gerente profesor Encargado de aprobación y consulta sobre los diferentes procesos en la

empresa IT-Expert

ENTRADAS DEL PROCESO



170

Artefacto Descripción Encargado de elaboración

Modelo de arquitectura de procesos

Modelo de arquitectura de procesos

para la definición de procesos en la

empresa IT-Expert.

Gobierno - Comité

Políticas de gobierno corporativo

Reglas de negocio con la cultura y

políticas por parte del Gobierno y

comité de las empresas.

Gobierno - Comité


corporativo

Información con los diferentes

requerimientos de parte del

Gobierno y comité de las empresas.

Gobierno - Comité


Políticas

Principios, comunicados y políticas

de la dirección de la empresa por el

Gobierno y comité de las empresas.

Gobierno - Comité

Políticas y procedimientos Políticas y procedimientos para

identificar los procesos críticos. Gerencia

Políticas y procedimientos

Políticas y procedimientos para

realizar el seguimiento y

cumplimiento de las obligaciones

de todos los empleados.

Gerencia

SALIDAS DEL PROCESO



Artefacto Descripción Encargado de elaboración



Definición de funciones en la

empresa IT-Expert, Definición de

la estructura de la empresa IT-

Expert.

Gerencia

171

Políticas operativas

Normas y directrices de las

operaciones internas en la

organización.

Gerencia

Plan de comunicación

Reglas de negocio en la

comunicación con el Gobierno o

comité de la empresa IT-Expert.

Gerencia

Políticas relativas a TI

Reglas de negocio con la

tecnología de información dentro

de la empresa.

Gerencia

Comunicación de objetivos de TI Documento con los objetivos de TI

en la empresa. Riesgo de operaciones


procesos

Evaluación mediante las

herramientas de Cobit5 para

obtener el nivel de capacidad de la

empresa.

Gerencia


rendimiento


rendimiento para el seguimiento de

la mejora de procesos

Operaciones

Acciones de remediación para el no

cumplimiento

Acciones apropiadas para la

remediación del no cumplimiento,

esto incluye cambio de

requerimientos.

Gerencia

172

CARACTERIZACIÓN


1.0 … Inicio Requerimiento

de mejora

continua del

Marco de

Gestión de TI

Necesidad de

Gestionar el Marco de

Gestión de TI

Gerente alumno

1.1 Modelo de

arquitectura

de procesos

Definir la

estructura

organizativa.

Definición de

estructura y

funciones

organizativas /

Directrices

operativas de

la organización

/ Reglas

básicas de

comunicación

Establecer una

estructura

organizativa interna y

extensa que refleje las

necesidades del

negocio y las

prioridades de TI.

Implementar las

estructuras de gestión

requeridas (p. ej.,

comités) para permitir

que la toma de

decisiones se lleve a

cabo de la forma más

eficaz y eficiente

posible.

Gerente alumno

1.2 Principios de

gobierno

corporativo

Mantener los

elementos

catalizadores

del sistema de

gestión

Políticas

relativas a TI

Mantener los

elementos

catalizadores del

sistema de gestión y

del entorno de control

de la TI de la empresa

y garantizar que están

integrados y

alineados con la

filosofía y el estilo

operativo de gobierno

Gerente alumno

173

y de gestión de la

empresa. Estos

elementos

catalizadores incluyen

una comunicación

clara de

expectativas/requisito

s. El sistema de

gestión debería

fomentar la

cooperación

interdepartamental y

el trabajo en equipo,

promover el

cumplimiento y la

mejora continua y

tratar las desviaciones

en el proceso

(incluidos los fallos).

1.3 Necesidad de

definir la

propiedad de

la información

y del sistema

Definir la

propiedad de

la información

y del sistema

Directrices

para el control

y seguridad de

datos

Definir y mantener

las responsabilidades

de la propiedad de la

información (datos) y

los sistemas de

información.

Asegurar que los

propietarios toman

decisiones sobre la

clasificación de la

información y los

sistemas y su

protección de acuerdo

con esta clasificación.

Gerente alumno

1.4 Comunicación

de gobierno

corporativo /

Comunicar los

objetivos y la

dirección de

Comunicación

de objetivos de

Comunicar la

sensibilización y la

comprensión de los

Gerente alumno

/ Analista de

riesgos /

174

Principios,

Comunicados

y Políticas

gestión TI objetivos y la

dirección de TI a las

partes interesadas y

usuarios pertinentes a

lo largo de toda la

empresa.

Analista de

seguridad

1.5 Políticas y

procedimiento

s

Gestionar la

mejora

continua de

los procesos

Evaluación de

capacidad de

procesos /

Objetivos y

métricas de

rendimiento

Evaluar, planificar y

ejecutar la mejora

continua de procesos

y su madurez para

asegurar que son

capaces de entregarse

conforme a los

objetivos de la

empresa, de gobierno,

de gestión y de

control. Considerar

las directrices de la

implementación de

procesos de COBIT,

estándares

emergentes,

requerimientos de

cumplimiento,

oportunidades de

automatización y la

realimentación de los

usuarios de los

procesos, el equipo

del proceso y otras

partes interesadas.

Actualizar los

procesos y considerar

el impacto en los

catalizadores del

proceso.

Gerente alumno

/ Gestor de

arquitectura de

TI / Gerente de

servicios /

Analista de

seguridad

175

1.6 Políticas y

procedimiento

s

Mantener el

cumplimiento

con las

políticas y

procedimiento

s

Acciones de

remediación

para el no

cumplimiento

Poner en marcha

procedimientos para

mantener el

cumplimiento y

medición del

funcionamiento de las

políticas y otros

catalizadores del

marco de referencia;

hacer cumplir las

consecuencias del no

cumplimiento o del

desempeño

inadecuado. Seguir

las tendencias y el

rendimiento y

considerarlos en el

diseño futuro y la

mejora del marco de

control.

Gerente alumno

/ Gestor de

arquitectura de

TI / Gerente de

servicios /

Analista de

seguridad

1.7 Marco de

gestión de TI

Gestionado

Fin … Fin del proceso Gerente alumno

/ Gestor de

arquitectura de

TI / Gerente de

servicios /

Analista de

seguridad

7.1 Definición de

estructura y

funciones

organizativas

Mantener la

dotación del

personal

Dotación de

personal

estructurado

Actividades internas

del proceso Mantener

la dotación del

personal

Gerente alumno

3.2 Políticas

operativas

Definir la

arquitectura

de referencia

Modelo de

arquitectura de

procesos


del proceso Definir la

arquitectura de

Gerente alumno

176

referencia

B.

2

Objetivos y

métricas de

rendimiento

Establecer los

objetivos de

cumplimiento

y rendimiento.

Objetivos de

cumplimiento

alineados a la

mejora

continua de los

procesos


del proceso

Establecer los

objetivos de

cumplimiento y

rendimiento.

Gerente alumno

B.

3

Evaluación de

capacidad de

procesos

Recopilar y

procesar los

datos de

cumplimiento

y rendimiento.

Procesos

internos del

dominio

Supervisar,

Evaluar y

Valorar

Rendimiento y

Conformidad


del proceso Recopilar

y procesar los datos

de cumplimiento y

rendimiento.

Gerente alumno

B.

5

Acciones de

remediación

para el no

cumplimiento

Asegurar la

implantación

de medidas

correctivas.

Implementació

n de medidas

correctivas

alineadas a las

políticas de la

empresa.


del proceso Asegurar

la implantación de

medidas correctivas.

Gerente alumno

A.

1

Mejora

continua del

sistema de

gobierno

Evaluar el

sistema de

gobierno

Principios

rectores de

gobierno

corporativo


del proceso Evaluar el

sistema de gobierno

Gobierno(Comit

é educativo)

A.

2

Mejora

continua del

sistema de

gobierno

Orientar el

sistema de

gobierno.

Objetivos del

gobierno


del proceso Orientar

el sistema de

gobierno.

Gobierno(Comit

é educativo)

A.

3

Mejora

continua del

sistema de

Supervisar el

sistema de

gobierno.

Efectividad y

funcionamient

o del gobierno


del proceso

Supervisar el sistema

Gobierno(Comit

é educativo)

177

gobierno de gobierno.

178

DIAGRAMA DEL PROCESO

Ilustración 22: Proceso Gestionar el Marco Gestión de TI

179

DESCRIPCIÓN DEL PROCESO 1.1.DEFINIR LA ESTRUCTURA

ORGANIZATIVA

DECLARATIVA

Establecer una estructura organizativa interna y extensa que refleje las necesidades del

negocio y las prioridades de TI. Implementar las estructuras de gestión requeridas (p. ej.,

comités) para permitir que la toma de decisiones se lleve a cabo de la forma más eficaz y

eficiente posible.

ROLES





Gerente alumno Desarrolla las actividades en la definición,

alineación y el establecimiento de una

estructura organizativa que será aprobada

por el Gerente de la empresa IT-Expert.

Gerencia

STAKEHOLDERS




Gerente profesor Encargado de establecer estructura organizativa. Gestionar la

implementación de las estructuras de gestión.


180





procesos


procesos para la definición de

procesos en la empresa IT-Expert.

Gobierno - Comité

SALIDAS DEL PROCESO






Definición de funciones en la

empresa IT-Expert, Definición de

la estructura de la empresa IT-

Expert.

Gerencia

Políticas operativas Normas y directrices de las

operaciones internas en la

organización.

Gerencia

Plan de comunicación Plan de comunicación establecida

entre el Gobierno o comité de la

empresa IT-Expert con la

gerencia.

Gerencia

181

CARACTERIZACIÓN


1,1,0 … Inicio

Modelo de

arquitectura de

procesos

Inicio de

procesos

Gerente

alumno

1,1,1

Modelo de

arquitectura de

procesos

Definir estructura

organizacional

Definición de

estructura y

funciones

organizativas

Definir el

alcance, las

funciones

internas y

externas, los

roles internos y

externos, y las

capacidades y los

derechos de

decisión

requeridos,

incluidas

actividades de TI

realizadas por

terceras partes.

Gerente

alumno

1,1,2

Definición de

estructura y

funciones

organizativas

Establecer

Decisiones para

resultados

corporativos

identificados

Establecer

actividades

Gerente

alumno

182


1,1,3

Decisiones para

resultados

corporativos

identificados

Establecer un

comité

estratégico de TI

Implicancia de

Stakeholders

establecida

Establecer un

Comité

Estratégico de TI

(o equivalente) a

nivel del Consejo

de

Administración.

Este comité

debería

asegurarse de que

el gobierno de

TI, como parte

del gobierno

corporativo, está

contemplado de

forma adecuada,

debe aconsejar

sobre la dirección

estratégica y

revisar las

inversiones

principales, en

representación

del consejo de

administración al

completo.

Gerente

alumno

183


1,1,4

Implicancia de

Stakeholders

establecida

Establecer un

comité directivo

de TI

Organización de

TI relacionado

con modelos de

arquitectura

corporativa

Establecer un

comité directivo

de TI (o

equivalente)

compuesto por la

dirección

ejecutiva, de

negocio y de TI

para determinar

las prioridades de

los programas de

inversión de TI

de acuerdo con la

estrategia y

prioridades de

negocio de la

empresa; realizar

un seguimiento

del estado de los

proyectos y

resolver los

conflictos de

recursos; y

supervisar los

niveles de

servicio y las

mejoras en el

servicio.

Gerente

alumno

1,1,5

Organización de

TI relacionado

con modelos de

arquitectura

corporativa

Converger

Iniciar definición

de roles y

responsabilidades

/ Iniciar

definición de

estructuras

Converger

actividades

Gerente

alumno

184


1,1,6

Iniciar definición

de roles y

responsabilidades

Identificar

decisiones

estratégicas

Definición de

estructura y

funciones

organizativas

Identificar las

decisiones

necesarias para

alcanzar los

resultados

corporativos y la

estrategia de TI y

para la gestión y

ejecución de

servicios de TI.

Gerente

alumno

1,1,7 Iniciar definición

de estructuras

Definir roles y

responsabilidades

Roles y

responsabilidades

Definir los roles

y las

responsabilidades

de cada función

dentro de la

estructura

organizativa

relativa a TI.

Gerente

alumno

185


1,1,8 Roles y

responsabilidades

Elaborar matriz

RACI Matriz RACI

Establecer la

implicación de

las partes

interesadas

críticas para la

toma de

decisiones

(quiénes rendirán

cuentas, quiénes

son responsables,

quiénes deben ser

consultados y

quiénes

informados).

Gerente

alumno

1,1,9 Matriz RACI

Elaborar las

políticas para las

funciones

Políticas

operativas

Proporcionar

políticas para

cada estructura

de gestión

(incluyendo

órdenes,

objetivos, marco

temporal,

seguimiento,

supervisión y

vigilancia), así

como las

entradas

requeridas y las

salidas esperadas

en cuanto a las

reuniones.

Gerente

alumno

186


1,1,10 Políticas

Operativas

Elaborar plan de

comunicación

Plan de

comunicación

Identificar las

decisiones

necesarias para

alcanzar los

resultados

corporativos y la

estrategia de TI y

para la gestión y

ejecución de

servicios de TI.

Establecer y

mantener una

estructura óptima

de enlace,

comunicación y

coordinación

entre el negocio

(Comité,

Gerencia) y las

funciones de TI

(Gestor de

operaciones)

dentro de la

empresa y con

entidades no

pertenecientes a

la empresa.

Gerente

alumno

187


1,1,11 Plan de

comunicación Fin

Estructura

organizativa

definida

Proporcionar

políticas para

cada estructura

de gestión

(incluyendo

órdenes,

objetivos, marco

temporal,

seguimiento,

supervisión y

vigilancia), así

como las

entradas

requeridas y las

salidas esperadas

en cuanto a las

reuniones.

Gerente

alumno

7.1

Definición de

estructura y

funciones

organizativas

Mantener la

dotación del

personal

Dotación de

personal

estructurado

Actividades

internas del

proceso

Mantener la

dotación del

personal

Gerente

alumno

3.2 Políticas

operativas

Definir la

arquitectura de

referencia

Modelo de

arquitectura de

procesos

Actividades

internas del

proceso Definir

la arquitectura de

referencia

Gerente

alumno

188


Ilustración 23: Proceso Definir la Estructura Organizativa

189

DESCRIPCIÓN DEL PROCESO 1.2.MANTENER LOS ELEMENTOS

CATALIZADORES

DECLARATIVA

Mantener los elementos catalizadores del sistema de gestión y del entorno de control de la

TI de la empresa y garantizar que están integrados y alineados con la filosofía y el estilo

operativo de gobierno y de gestión de la empresa. Estos elementos catalizadores incluyen

una comunicación clara de expectativas/requisitos. El sistema de gestión debería fomentar

la cooperación interdepartamental y el trabajo en equipo, promover el cumplimiento y la

mejora continua y tratar las desviaciones en el proceso (incluidos los fallos).

ROLES





Gerente alumno Integrar los principios de TI con los del

negocio, alinear marco de trabajo,

procesos de TI, Evaluar buenas practicas,

crear un conjunto de políticas con para el

control interno de TI.

Gerencia

Gobierno Encargado de realizar la Evaluación,

Orientación y Supervisión del sistema de

gobierno.

Dirección ejecutiva

STAKEHOLDERS



190


Gerente general Transmitir la visión, dirección y la estrategia corporativa a la

empresa. Asegurarse que los procedimientos estén en

funcionamiento.



Principios de gobierno

corporativo

Reglas de negocio con la cultura

y principios por parte del

Gobierno y comité de las

empresas.

Gobierno - Comité



SALIDAS DEL PROCESO




Políticas relativas a TI Reglas de negocio con las

tecnologías de información dentro

de la empresa.

Gerencia

191

CARACTERIZACIÓN


1,2,0 … Inicio Necesidad de

mantener

elementos

catalizadores

Inicio de

procesos

Gerente alumno

1,2,1 Necesidad de

mantener

elementos

catalizadores

Adquirir

comprensión y

visión

visión y

dirección de

estrategia

adquirida

Adquirir

comprensión de

la visión, la

dirección y la

estrategia

corporativas

(Misión, Visión

y Objetivos).

Gerente alumno

192


1,2,2 visión y

dirección de

estrategia

adquirida

Atender la

cultura ética y

códigos de

conducta

Cultura ética y

códigos de

conducta

atendidos

Tener en cuenta

el entorno

interno de la

empresa,

incluyendo la

cultura y la

filosofía de

gestión, la

tolerancia al

riesgo, la

seguridad, los

valores éticos, el

código de

conducta, la

rendición de

cuentas y los

requisitos de

integridad en la

gestión.

Gerente alumno

193


1,2,3 Cultura ética y

códigos de

conducta

atendidos

Inferir e

integrar

Principios de

TI integrados

con principios

de negocio

Inferir e integrar

los principios de

TI con los

principios de

negocio,

motivando en la

cultura

empresarial

definida por la

empresa IT-

Expert.

Gerente alumno

1,2,4 Principios de

TI integrados

con principios

de negocio

Alinear Necesidad de

alineamiento

Iniciar

alineamiento de

políticas

Gerente alumno

1,2,5 Necesidad de

alineamiento

Entorno de

control y

políticas

Entorno de

control de TI

alineado con

políticas de TI

Alinear el

entorno de

control de TI

con las políticas

de TI, mantener

el riesgo

controlado.

Gerente alumno

194


1,2,6 Entorno de

control de TI

alineado con

políticas de TI

Estándares Principios de

gobierno

corporativo

Evaluar las

buenas prácticas

y estándares

para aplicación

en IT-Expert (p.

ej., normativa

específica de

ITIL para

servicios) e

integrarlos

donde

corresponda.

Gerente alumno

195


1,2,7 Principios

rectores de

gobierno

corporativo

Políticas de

gobierno

Estándares y

códigos de

prácticas de

gobierno

alineados

Alinear las

políticas de

gobierno con

todas las buenas

prácticas y

estándares de

gestión y

evaluar las

buenas prácticas

disponibles con

marcos de

control

internacionales

(COSO).

Gerente alumno

1,2,8 Estándares y

códigos de

prácticas de

gobierno

alineados

Obtener

alineación

Políticas

alineadas

Políticas

alineadas

Gerente alumno

196


1,2,9 Políticas

alineadas

Aplicar

alineamiento

Alineamiento

aplicado

Aplicar las

políticas y

marcos de

referencia en la

cultura de la

empresa para

motivar la

realización de

los objetivos de

la empresa.

Gerente alumno

197


1,2,1

0

Alineamiento

aplicado

Crear un

conjunto de

políticas

Políticas

relativas a TI

Crear un

conjunto de

políticas para

conducir las

expectativas de

control de TI en

temas clave

relevantes, como

calidad,

seguridad,

confidencialidad

, controles

internos, uso de

activos de TI,

ética y derechos

de propiedad

intelectual.

Gerente alumno

1,2,1

1

Políticas

relativas a TI

Evaluar las

políticas

Políticas

evaluadas y

actualizadas

Evaluar y

actualizar las

políticas, como

mínimo una vez

al año, para

ajustarlas a los

cambiantes

entornos

operativos o de

negocio.

Gerente alumno

198


1,2,1

2

Políticas

evaluadas y

actualizadas

Implantar

políticas

Políticas

implantadas

Implantar y

aplicar las

políticas de TI a

todo el personal

relevante, de

forma que estén

incorporadas y

sean parte

integral de las

operaciones

empresariales.

Gerente alumno

199


1,2,1

3

Políticas

implantadas

Asegurar

funcionamient

o

Funcionamient

o de

procedimientos

asegurado

Asegurarse de

que los

procedimientos

estén en

funcionamiento

para realizar un

seguimiento del

cumplimiento

con las políticas

y definir las

consecuencias al

no llegar a

cumplir los

indicadores

Gerente alumno

1,2,1

4

Funcionamient

o de

procedimientos

asegurado

Fin … Fin de procesos Gerente alumno

A.1 Mejora

continua del

sistema de

gobierno

Evaluar el

sistema de

gobierno

Principios

rectores de

gobierno

corporativo

Actividades

internas del

proceso Evaluar

el sistema de

gobierno

Gobierno(Comit

é educativo)

200


Ilustración 24: Proceso Mantener los Elementos Catalizadores

201

DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA

INFORMACIÓN Y DEL SISTEMA DE TI

DECLARATIVA

Definir y mantener las responsabilidades de la propiedad de la información (datos) y los

sistemas de información. Asegurar que los propietarios toman decisiones sobre la

clasificación de la información y los sistemas y su protección de acuerdo con esta

clasificación.

ROLES





Gerente alumno Proveer políticas y directrices, definir,

mantener y proporcionar herramientas

adecuadas para garantizar la seguridad de

información. Definir e implementar

procedimientos para asegurar la integridad y

consistencia en la información.

Gerencia

STAKEHOLDERS




Comité Definir la prioridad de la información y mantener las responsabilidades

de la prioridad de la información.


202




Requerimiento de negocio Necesidad de definir la propiedad

de la información y del sistema

Gerencia

SALIDAS DEL PROCESO




Directrices para el control y

seguridad de datos

Políticas y reglas de negocio para

realizar el control y mantener

segura la información. futuros

proyectos

Gerencia

CARACTERIZACIÓN


1,3,0 … Inicio Necesidad de

definir la

propiedad de

información

del sistema

Inicio de

proceso

Gerente

alumno

1,3,1 Necesidad de

definir la

Proveer

políticas y

Políticas y

directrices

Proveer

políticas y

Gerente

203


propiedad de

información

del sistema

directrices propuestas directrices para

asegurar la

adecuación y

consistencia de

la clasificación

de la

información

(datos) en toda

la empresa.

alumno

1,3,2 Políticas y

directrices

propuestas

Definir,

mantener y

proporcionar

Seguridad de

información

garantizada

Definir,

mantener y

proporcionar

herramientas

adecuadas,

técnicas y

directrices para

garantizar la

seguridad y

control

efectivo sobre

la información

y los sistemas

en

colaboración

con el

propietario

(Base de datos,

Libros Excel,

Soluciones,

etc...).

Gerente

alumno

1,3,3 Seguridad de

información

Crear y

mantener

Soporte al

mantenimiento

Crear y

mantener un

Gerente

alumno

204


garantizada información de la

información

inventario de

la información

(sistemas y

datos) que

incluya un

listado de los

propietarios,

custodios y

clasificaciones.

Incluir los

sistemas

subcontratados

y aquellos

cuya propiedad

debe

permanecer

dentro de la

empresa.

1,3,4 Soporte al

mantenimiento

de la

información

Definir e

implementar

procedimientos

Políticas para

el control y

seguridad de

datos

Definir e

implementar

procedimientos

para asegurar

la integridad y

consistencia de

toda la

información

almacenada en

formato

electrónico,

tales como

bases de datos,

almacenes de

datos (data

Gerente

alumno

205


warehouses) y

archivos de

datos.

1,3,5 Políticas para

el control y

seguridad de

datos

Fin … Fin de proceso Gerente

alumno

3.2 Políticas

operativas

Definir la

arquitectura de

referencia

Modelo de

arquitectura de

procesos

Actividades

internas del

proceso

Definir la

arquitectura de

referencia

Gerente

alumno

206


Ilustración 25: Proceso Definir la Propiedad de la Información y del Sistema de TI

207

DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA

DIRECCIÓN DE GESTIÓN

DECLARATIVA

Comunicar la sensibilización y la comprensión de los objetivos y la dirección de TI a las

partes interesadas y usuarios pertinentes a lo largo de toda la empresa.

ROLES





Gerente alumno Comunicar continuamente los objetivos de

TI.

Gerencia

Gestor de riesgos Aplicar las medidas necesarias para

mantener un control de riesgos,

garantizando un adecuado control en los

procesos.


Gestor de la

seguridad

Aplicar los objetivos de TI a la seguridad

de información en la empresa.




gobierno.


STAKEHOLDERS




208

Comité Comunican todo lo relevante al gobierno corporativo.

Gerente general Apoyar los objetivos de TI a la empresa.

Gerente profesor Comunicar la sensibilidad de los objetivos al comité. Dar soporte al

proceso de comunicación.






corporativo

Información con los diferentes

requerimientos de parte del

Gobierno y comité de las

empresas.

Gobierno - Comité


Políticas

Principios, comunicados y

políticas de la dirección de la

empresa por el Gobierno y comité

de las empresas.

Gobierno - Comité

SALIDAS DEL PROCESO




Comunicación de objetivos de TI Documento con los objetivos de

TI en la empresa. Carpeta

compartida de proyectos y finaliza

el proceso creando un documento

de incidencias para futuros

proyectos


209

CARACTERIZACIÓN


1.4.0 … Inicio Comunicación

de gobierno

corporativo

Inicio de proceso Gerente alumno

1.4.1 Comunicación

de gobierno

corporativo

Comunicar

objetivos

Objetivos

comunicados

Comunicar

continuamente los

objetivos y la

dirección de TI.

Gerente alumno

1.4.2 Objetivos

comunicados

Asegurar

comunicación

Comunicación

asegurada

Asegurar que las

comunicaciones

reciban apoyo de

la dirección

ejecutiva, tanto de

palabra como

mediante

acciones,

empleando todos

los canales

disponibles.

Analista de

riesgos

1.4.3 Comunicación

asegurada

Comunicar Principios,

Comunicados

y Políticas

Iniciar

comunicación

Analista de

seguridad

1.4.4 Principios,

Comunicados

y Políticas

Garantizar

información

Información

garantizada

Garantizar que la

información

comunicada

engloba una clara

articulación de la

misión, los

objetivos de

servicio, la

seguridad, los

controles

Analista de

seguridad

210


internos, la

calidad, el código

ético/de conducta,

las políticas y

procedimientos,

los roles y las

responsabilidades,

etc.

1.4.5 Información

garantizada

Detallar

información

información

detallada

Comunicar la

información con

el nivel de detalle

adecuado para

cada respectiva

audiencia dentro

de la empresa.

Analista de

seguridad

1.4.6 información

detallada

Finalizar

Comunicación

Comunicación

finalizada

Información

comunicada clara,

con los objetivos

de servicio,

seguridad y

controles

internos, etc.

Correctamente

descritos.

Analista de

seguridad

1.4.7 Comunicación

finalizada

Soportar

comunicación

Comunicación

de objetivos

de TI

Proporcionar

recursos

suficientes y

cualificados para

dar soporte al

proceso

comunicativo.

Analista de

riesgos

1.4.8 Comunicación

de objetivos

Fin … Fin de proceso Analista de

211


de TI riesgos

A.2 Mejora

continua del

sistema de

gobierno

Orientar el

sistema de

gobierno.

Objetivos del

gobierno

Actividades

internas del

proceso Orientar

el sistema de

gobierno.

Gobierno(Comité

educativo)

212


Ilustración 26: Proceso Comunicar los Objetivos y la Dirección de Gestión

213

DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE

LOS PROCESOS

DECLARATIVA

Evaluar, planificar y ejecutar la mejora continua de procesos y su madurez para asegurar

que son capaces de entregarse conforme a los objetivos de la empresa, de gobierno, de

gestión y de control. Considerar las directrices de la implementación de procesos de

COBIT, estándares emergentes, requerimientos de cumplimiento, oportunidades de

automatización y la realimentación de los usuarios de los procesos, el equipo del proceso y

otras partes interesadas. Actualizar los procesos y considerar el impacto en los

catalizadores del proceso.

ROLES





Gerente alumno Evaluar, analizar e identificar los procesos

críticos del negocio basándose en el

rendimiento y cumplimiento de los riesgos

relacionados.

Gerencia

Arquitecto de TI Implementar la redefinición de procesos.

Rediseño de procesos priorizando las

iniciativas para la mejora del proceso.

Operaciones

Gerente de servicios Considerar las maneras de mejorar la


acciones para realizar la mejora continua.

Gerencia

Gestor de la

seguridad

Aplicar las medidas de mejora para la

seguridad de información.





214

gobierno.

STAKEHOLDERS




Comité Promover la mejora continua en todos los procesos considerando las

directrices de la implementación de los procesos de COBIT5.

Gerente profesor Encargado de supervisar la reacción de las funciones de los empleados

con respecto al proceso de mejora continua.






identificar los procesos críticos.

Gerencia

SALIDAS DEL PROCESO





procesos

Evaluación mediante las

herramientas de Cobit5 para

obtener el nivel de capacidad de la

empresa.

Gerencia

215


rendimiento


rendimiento para el seguimiento

de la mejora de procesos

Operaciones

CARACTERIZACIÓN


1,5,0 … Inicio Efectividad y

funcionamiento

del gobierno

Inicio de

procesos

Gestor de

arquitectura de

TI

1,5,1 Efectividad y

funcionamiento

del gobierno

Identificar

procesos

críticos

Procesos

críticos

identificados

Identificar los

procesos

críticos de

negocio

basándose en el

rendimiento,

cumplimiento y

los riesgos

relacionados.

Gestor de

arquitectura de

TI

1,5,2 Procesos

críticos

identificados

Procesos

priorizar

Iniciar

procesos

Inicio de

proceso

Evaluar,

Analizar,

Identificar y

Priorizar.

Gerente de

servicios

1,5,3 Iniciar

procesos

Evaluar Evaluación de

capacidad de

procesos

Evaluar la

capacidad del

proceso e

identificar

objetivos de

Gerente de

servicios

216


mejora.

1,5,4 Iniciar

procesos

Analizar Análisis

realizado

Analizar las

diferencias en

la capacidad y

control del

proceso.

Gerente de

servicios

1,5,5 Iniciar

procesos

Identificar Opciones de

mejora

identificados

Identificar las

opciones de

mejora y

rediseño de

procesos.

Gerente de

servicios

1,5,6 Iniciar

procesos

Priorizar Objetivos y

métricas de

rendimiento

Priorizar

iniciativas para

la mejora de

procesos

basadas en el

potencial coste-

beneficio.

Gestor de

arquitectura de

TI

1,5,7 Evaluación de

capacidad de

procesos /

Análisis

realizado /

Opciones de

mejora

identificados /

Objetivos y

métricas de

rendimiento

Converger

procesos

Procesos

finalizados

Finalización de

procesos

Evaluar,

Analizar,

Identificar y

Priorizar.

Gerente de

servicios

1,5,8 Procesos

finalizados

Implementar

mejoras

Mejoras

implementadas

Implementar

las mejoras

acordadas,

Gerente alumno

217


funcionando

como una

práctica normal

del negocio y

establecer

objetivos y

métricas de

rendimiento

que permitan el

seguimiento de

las mejoras del

proceso.

1,5,9 Mejoras

implementadas

Considerar

maneras de

mejorar

Maneras de

mejorar la

eficiencia y

eficacia

consideradas

Considerar las

maneras de

mejorar la

eficiencia y

eficacia (p. ej.,

mediante

formación,

documentación,

estandarización

y

automatización

de procesos).

Gerente alumno

1,5,10 Maneras de

mejorar la

eficiencia y

eficacia

consideradas

Aplicar

prácticas de

mejora

Prácticas de

mejora

aplicadas

Aplicar

prácticas de

gestión de

calidad para la

actualización

de procesos.

Analista de

seguridad

1,5,11 Prácticas de

mejora

aplicadas

Evaluar

procesos

Procesos

correctos /

Procesos

Evaluar

procesos

Gerente alumno

218


desactualizados

1,5,12 Procesos

desactualizados

Retirar

procesos

Fin del proceso Se retiran los

procesos que

están

desactualizados

con la

implementación

de proyectos

innovadores

Gerente alumno

1,5,13 Fin del proceso Fin … Fin del proceso Gerente alumno

B.2 Objetivos y

métricas de

rendimiento

Establecer

los objetivos

de

cumplimiento

y

rendimiento.

Objetivos de

cumplimiento

alineados a la

mejora

continua de los

procesos

Actividades

internas del

proceso

Establecer los

objetivos de

cumplimiento y

rendimiento.

Gerente alumno

B.3 Evaluación de

capacidad de

procesos

Recopilar y

procesar los

datos de

cumplimiento

y

rendimiento.

Procesos

internos del

dominio

Supervisar,

Evaluar y

Valorar

Rendimiento y

Conformidad

Actividades

internas del

proceso

Recopilar y

procesar los

datos de

cumplimiento y

rendimiento.

Gerente alumno

A.3 Mejora

continua del

sistema de

gobierno

Supervisar el

sistema de

gobierno.

Efectividad y

funcionamiento

del gobierno

Actividades

internas del

proceso

Supervisar el

sistema de

gobierno.

Gobierno(Comité

educativo)

219


Ilustración 27: Proceso Gestionar la Mejora Continua de los Procesos

220

DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON

LAS POLÍTICAS Y PROCEDIMIENTOS

DECLARATIVA

Poner en marcha procedimientos para mantener el cumplimiento y medición del

funcionamiento de las políticas y otros catalizadores del marco de referencia; hacer

cumplir las consecuencias del no cumplimiento o del desempeño inadecuado. Seguir las

tendencias y el rendimiento y considerarlos en el diseño futuro y la mejora del marco de

control.

ROLES





Gerente alumno Realizar seguimiento de las actividades,

control, monitoreo y cumplimiento de las

políticas.

Gerencia

Arquitecto de TI Rediseñar los procesos para cumplir con las

políticas y procedimientos.

Gerencia

Gerente de servicios Adoptar las acciones necesarias para realizar

el soporte de servicios adoptando las

políticas y procedimientos propuestos.

Gerencia

Gestor de la

seguridad

Adoptar las acciones necesarias para realizar

los procesos relacionados a la seguridad de

información adoptando las políticas y





gobierno.


221

STAKEHOLDERS




Comité Proponer políticas y procedimientos relacionados a los objetivos de TI.

Gerente profesor Encargado de supervisar el cumplimiento de las políticas y

procedimientos de TI.






realizar el seguimiento y

cumplimiento de las obligaciones

de todos los empleados.

Gerencia

SALIDAS DEL PROCESO




Acciones de remediación para el

no cumplimiento

Acciones apropiadas para la

remediación del no cumplimiento,

esto incluye cambio de

requerimientos y comunicación

con el gobierno para definir

nuevos proyectos en el siguiente

periodo.

Gerencia

222

CARACTERIZACIÓN


1,6,0 … Inicio Políticas y

procedimientos

Inicio de

proceso

Gerente

alumno

1,6,1 Políticas y

procedimientos

Realizar

seguimiento

Seguimiento

iniciado

Hacer un

seguimiento del

cumplimiento

con políticas y

procedimientos.

Gerente

alumno

1,6,2 Seguimiento

iniciado

Validar

cumplimiento

Cumplimiento

valido /

Cumplimiento

invalido

Se realizan las

actividades

necesarias para

validar el

cumplimiento

de las políticas y

procedimientos

en la empresa.

Gerente de

servicios

1,6,3 Cumplimiento

invalido

Analizar

incumplimientos

Acciones de

remediación

para el no

cumplimiento

Analizar los

incumplimientos

y adoptar las

acciones

apropiadas

(puede incluir el

cambio de

requerimientos).

Gerente

alumno

1,6,4 Acciones de

remediación

para el no

cumplimiento /

Cumplimiento

Valido

Integrar

rendimiento y

cumplimiento

Rendimiento y

cumplimiento

integrado

Integrar

rendimiento y

cumplimiento

dentro de los

objetivos

individuales del

personal.

Analista de

seguridad

223

1,6,5 Rendimiento y

cumplimiento

integrado

Evaluar

desempeño de

catalizadores

Desempeño de

catalizadores

evaluados

Evaluar

periódicamente

el desempeño de

los catalizadores

del marco de

referencia y

adoptar las

acciones

necesarias.

Gestor de

arquitectura

de TI

1,6,6 Desempeño de

catalizadores

evaluados

Adoptar

acciones

necesarias

Acciones

necesarias

adoptadas

Adoptar las

acciones

apropiadas.

Gerente

alumno

1,6,7 Acciones

necesarias

adoptadas

Analizar

tendencias y

cumplimiento

Tendencias y

Cumplimiento

analizado y

validado

Analizar las

tendencias en el

funcionamiento

y cumplimiento.

Analista de

seguridad

1,6,8 Tendencias y

Cumplimiento

analizado y

validado

Fin … Fin de proceso Gerente

alumno

B.5 Acciones de

remediación

para el no

cumplimiento

Asegurar la

implantación de

medidas

correctivas.

Implementación

de medidas

correctivas

alineadas a las

políticas de la

empresa.

Actividades

internas del

proceso

Asegurar la

implantación de

medidas

correctivas.

Gerente

alumno

224


Ilustración 28: Proceso Mantener el Cumplimiento con las Políticas y Procedimientos

225

POLÍTICAS

Las políticas establecidas por el proyecto IMGETI para la sección de Políticas de TI son:

Es responsabilidad del asistente de gerencia:

A. Revisar el ROF, MOF, Políticas, modelo de procesos, y la memoria de la empresa

al menos una vez por ciclo.

B. Actualizar el ROF, MOF y la memoria de la empresa.

C. Retirar los procesos desactualizados del modelo de procesos.

D. Agregar los nuevos procesos al modelo del modelo de procesos.

E. Notificar al personal de la empresa las políticas de misma al inicio de cada ciclo y

cada vez que se realiza algún cambio.

F. Realizar el seguimiento del cumplimiento de las políticas.

G. Crear cuentas de correo electrónico en el servicio Gmail para cada nuevo proyecto

al inicio de ciclo con el formato “CodigoProyecto_Añ[email protected]”. Por

ejemplo: “[email protected]”.

H. Notificar el correo creado y su contraseña. Además, del acceso a las carpetas

compartidas de IT-Expert y los Formularios para el registro de actividades y

reuniones mediante un mensaje a su correo universitario.

I. Es responsabilidad del Gerente general de la empresa IT-Expert.

J. Autorizar los cambios del ROF, MOF, Modelo de procesos, políticas y memoria de

la empresa.

K. Es responsabilidad del Jefe de proyecto:

L. Cambiar la contraseña del correo asignado a su proyecto.

M. Registrar semanalmente las actividades realizadas durante la semana en el

formulario de avance del proyecto.

226

N. Registrar semanalmente las reuniones celebradas durante la semana en el

formulario de reuniones.

227

ESTRUCTURA ORGANIZATIVA

La estructura organizacional implementada por el proyecto IMGETI es el siguiente:

Ilustración 29: Organigrama de IT-Expert 2014 Implementado


ARQUITECTO DE TI

Descripción

Encargado de administrar la arquitectura empresarial para proponer soluciones

conciliadoras a las necesidades de los interesados.

Perfil

Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías EUP,

TOGAF.

Funciones

Recolectar y comprender los requisitos

Proponer modelos que respondan a los requisitos.

Validar y refinar el modelo propuesto.

Realizar mantenimiento de los modelos.

Persona Asignada

228

Alumno de Taller de Desempeño Profesional II

GESTOR DE RIESGOS

Descripción

Encargado de realizar las evoluciones de riegos de TI, así como proponer los cambios

necearías para mitigar los riesgos identificados.

Perfil

Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías PMBOK,

ITIL, COBIT.

Funciones

Identificar, cuantificar y priorizar los riesgos de TI

Realizar evoluciones de riesgos regularmente.

Proponer cambios para minimizar los riesgos.

Sigue una metodología para las evaluaci8mes con el fin de que estas sean objetivas y

repetibles.

Persona Asignada


GESTOR DE LA SEGURIDAD

Descripción

Tiene como misión planificar, coordinar y mantener la seguridad de la información de la

empresa. Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías

COBIT, ISO 27001.

Funciones

229

Planificar, coordinar y mantener la seguridad de la información en IT-Expert

Educar a los usuarios sobre seguridad de la información.

Realizar análisis de vulnerabilidades en los dispositivos de red de la empresa.

Reunir evidencias para la investigación de incidentes de seguridad.

Persona Asignada


ROLES

ARQUITECTO DE TI

Tiene la misión de asegurar la integridad de la arquitectura, en términos de abordar

adecuadamente todas las preocupaciones pertinentes de sus grupos de interés, relacionando

de todos los diferentes puntos de vista entre ellos. Lo que busca es la conciliación de

manera satisfactoria las preocupaciones conflictivas de diferentes grupos de interés,

mostrando las compensaciones y consideraciones tomadas.

GESTOR DE RIESGOS

Se encarga del proceso de identificación, cuantificación y priorización de los riesgos

comparándolos con el criterio para su aceptación dentro del marco de los objetivos

relevantes para la empresa. Realiza evaluaciones del riesgo periódicamente y siguiendo

una metodología para realizar los cambios en los requerimientos del sistema y en la

situación de los riesgos; por ejemplo: activos, amenazas, vulnerabilidades, impactos,

valoración del riesgo y cuantos cambios significativos ocurran.

GESTOR DE LA SEGURIDAD

Tiene como misión planificar, coordinar y mantener la seguridad de la información de la

empresa. Deben educar a los usuarios sobre la seguridad de la información, instalar

software de seguridad, supervisar las redes para detectar los puntos vulnerables de

seguridad, responder a los ataques cibernéticos, y en algunos casos, reunir datos y pruebas

que se utilizarán en la persecución de la delincuencia cibernética.

230

MÉTRICAS

Se establecen métricas que ayuden a la gerencia de la empresa IT-Expert a un control

adecuado de los procesos, en este caso al proceso implementado.

INDICADORES

Se establecieron los siguientes indicadores:

Reuniones realizadas con las autoridades

Nivel de avance del proyecto

Nivel de actividades realizadas en el proyecto

NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES

Definición: Mide el porcentaje de reuniones realizadas con las autoridades de la empresa

IT-Expert y con el Cliente del proyecto.

Expresión matemática:

Objetivos: Se debe alcanzar un 80% de reuniones con las autoridades de IT-Expert sobre

el número de semanas para lograr un alineamiento correcto a los requerimientos del cliente

y a las políticas de la empresa.

Consideraciones de gestión:

Verde Amarillo Rojo

X>=80% 60%<=X<80% X<60%

Periodicidad e intensión: Semanal

Fuentes de información: Reporte del formulario Google Drive “Reuniones del proyecto”

231

NIVEL DE AVANCE REAL DEL PROYECTO

Definición: Mide el Porcentaje de la brecha entre el número de actividades planificadas y

las actividades realizadas sobre el número de actividades planificas del proyecto.

Expresión matemática

Objetivos: La brecha de actividades realizadas con actividades planificadas debe ser

menor al 10%.

Consideraciones de gestión:

Verde Amarillo Rojo

X<=10% 10%<=X<25% X>=25%


Fuentes de información: Reporte del formulario Google Drive “Avance del proyecto”

NIVEL DE ACTIVIDADES REALIZADAS EN EL PROYECTO

Definición: Mide el porcentaje de avance de los proyectos a la fecha.

Expresión matemática

Objetivos: Las actividades realizadas deben ser mayores o iguales al 90% de las

actividades planificadas para no ocasionar retrasos en el proyecto.

Consideraciones de gestión

Verde Amarillo Rojo

X>=90% 85%<=X<90% X<85%


Fuentes de información: Reporte del formulario Google Drive “Avance del proyecto”

232

Para la implementación de cualquier proyecto es necesario una constante comunicación

con la gerencia de la empresa y el cliente, pues la dificultad se incrementa a medida que la

implementación envuelve la actualización y creación de información y documentación para

la empresa. Los productos de trabajo deben estar alineados a los habilitadores de COBIT 5

para que funcionen como elementos que impulsan el cumplimiento de los objetivos de TI

en la empresa. La implementación del modelo de procesos propuesto por COBIT 5 debe

estar alineado al negocio de la empresa, esto conlleva a la aplicación y adaptación de los

subprocesos propuestos por el modelo de procesos de COBIT 5.

233

FASE 6 - ¿HEMOS CONSEGUIDO LLEGAR?

DESARROLLAR EL PLAN DE IMPLEMENTACIÓN

En esta fase se debe supervisar las mejoras a través de métricas. En el proyecto IMGETI,

una vez implementado el plan o programa de implementación con mayor logro y

cumplimiento de objetivos de TI en la empresa se deben establecer indicadores para el

proceso implementado así como un medio por el cual pueden ser controlados por la

gerencia y reportados al comité, para IT-Expert esto se empleara un Tablero de indicadores

que se desarrolló como parte de la implementación de métricas. Los beneficios deben

monitorearse y medirse estableciendo metas para cada métrica en el programa

implementado.

Tablero De Indicadores

Definición:

El tablero de indicadores es un documento digital alojado en los servicios de Google Drive.

Este documento esta enlazado con dos formularios que permiten registrar la información

de los proyectos y de esta forma alimentarse de data a tiempo real. Presenta índices y

graficas que ayudan a monitorear y controlar el estado actual de los proyectos.

Objetivo:

Los objetivos del desarrollo del tablero de control son los siguientes

Medir el índice del proceso implementado enfocándose en las sesiones de formación, las

actividades realizadas en los proyectos y la brecha del avance real con el planificado

Disminuir el tiempo del desarrollo de los reportes presentados al comité

Diseñar un reporte alojado en la nube con sincronización a tiempo real que puede ser

accesible 24/7 directamente a la parte del gobierno de IT-Expert

Alcance:

234

El tablero de indicadores se desarrolló teniendo en cuenta el reporte que se elabora

bimestralmente por gerencia para extenderse al comité. Y tiene como alcance reducir la

elaboración del reporte mediante el uso de formularios del servicio de Google Drive.

El reporte que arroja el tablero de indicadores es a tiempo real 24/7 pues se aloja en el

servicio de la nube de Google Drive.

Los formularios que alimentan la data para generar el reporte de indicadores debes ser

registrado semanalmente por los jefes de cada proyecto. Se implementaron políticas para

este procedimiento.

Formulario Reuniones Del Proyecto

El formulario de reuniones de los proyectos tiene como datos de ingreso:

Numero de Semana

Fecha de registro

Código del proyecto

Autoridad con quien se celebra la reunión

Acuerdos a los que se llegue en dicha reunión

Esta información es fundamental para realizar el reporte que controlara las reuniones

realizadas por el proyecto.

Ilustración 30: Formulario de reuniones del proyecto

235


Formulario Avance Del Proyecto

El formulario de avance de los proyectos tiene como datos de ingreso:

Numero de Semana

Código del proyecto

Avance real del proyecto en dos decimales con coma decimal

Actividades de avance planificado

Actividades de avance real

Observaciones en las actividades

Esta información es fundamental para realizar el reporte que controlara el avance de las

actividades realizadas por el proyecto.

236

Ilustración 31: Formulario de avance del proyecto


Reporte De Informe De Avance Y Reuniones De It-Expert

El reporte presenta la información solicitada en el reporte que se envía al comité

bimestralmente y además los indicadores del proceso.

Avance del proyecto

El grafico del avance nos permite monitorear de forma visual el avance real del proyecto

con respecto al avance planificado.

Ilustración 32: Avance por proyecto

237


Reuniones por proyecto

Este grafico de barras muestra la cantidad de reuniones celebradas por cada proyecto con

diferentes autoridades establecidas por la empresa IT-Expert y el Cliente del proyecto.

Ilustración 33: Reuniones por proyecto


Informe de EDT

El informe EDT presenta el desarrollo de las actividades con respecto a lo planeado. Esta

información es la evidencia de una adecuada gestión del proyecto y brinda un informe más

detallado del desarrollo de las actividades.

Ilustración 34: Informe EDT

238


Informe de reuniones

El informe de las reuniones celebradas por los jefes del proyecto nos muestra los acuerdos

a los que se llegaron con el cliente del proyecto y las diferentes autoridades establecidas en

la empresa IT-Expert.

Ilustración 35: Informe de reuniones

239


Resumen de avances comparativo

El resumen de avances muestra el indicador mediante semáforo de cómo se encuentra la

brecha entre el avance planificado y real de todos los proyectos. Estos índices fueron

definidos en las métricas de los Productos de trabajos.

Ilustración 36: Resumen de avances semáforos

240


Ilustración 37: Resumen de avances gráficos


Resumen de reuniones comparativo

Este índice indica el número de reuniones comparativo entre todos los proyectos. Esto

puede mostrar un ratio o promedio normal de las reuniones que se deben realizar con las

autoridades de la empresa y el cliente del proyecto.

Ilustración 38: Resumen de reuniones

241


Al establecer las métricas de rendimiento se debe verificar el cumplimiento de los

objetivos de cada indicador y que esté de acuerdo con los requerimientos del negocio

establecidos por la gerencia. El cuadro de indicadores cumple con la supervisión de las

mejoras implementadas pues sus métricas de rendimiento que ayudaran a controlar el

rendimiento del proceso y a tomar medidas de mitigación. Es indispensable contar con un

plan de riesgos y de acciones a realizar como contingencia y mitigación para regularizar

los índices arrojados por el cuadro de indicadores.

242

FASE 7 - ¿CÓMO MANTENEMOS VIVO EL IMPULSO?

MONITOREAR Y CONTROLAR EL DESEMPEÑO DE LA

IMPLEMENTACIÓN

En esta fase se realiza revisa la efectividad del éxito global del proyecto mediante una

evaluación de nivel de capacidad. También se identifican las mejoras o las lecciones que se

obtienen de toda la implementación para finalmente presentar las mejoras futuras que

ayudarían a mejorar a la empresa. Estas mejoras son los tres procesos propuestos que no

fueron implementados, pero son aplicables en la empresa IT-Expert.

Evaluación


Luego de analizar las listas de revisiones por segunda vez se puede obtener este cuadro que

nos indica que la empresa IT-Expert en el proceso APO01 tiene un total de 86.80% de

capacidad en el nivel 1.

Tabla 22: Evaluación de proceso Gestionar el marco de gestión de TI

Evaluación APO01

APO01 Gestionar el Marco de Gestión de TI 86.80


Aclarar y mantener el gobierno de la misión y la visión

corporativa de TI. Implementar y mantener mecanismos

y autoridades para la gestión de la

243

Información y el uso de TI en la empresa para apoyar los

objetivos de gobierno en consonancia con las políticas y



Proceso


permita cumplir los requisitos de gobierno corporativo e

incluya procesos de gestión, estructuras, roles y

responsabilidades organizativos, actividades fiables y

reproducibles y habilidades y competencias.

Meta del Proceso (Os) (1-4) 100.00%

APO01-O1 Se ha definido y se mantiene un conjunto eficaz de

políticas. 3

APO01-O2

Todos tienen conocimiento de las políticas y de cómo

deberían 3

Implementarse.

Prácticas Base (BPs) % 81.83%

APO01-BP1 Definir la estructura organizativa. 88.5

APO01-BP2 Establecer roles y responsabilidades 85.7

APO01-BP3 Mantener los elementos catalizadores del sistema de

gestión 90.5

APO01-BP4 Comunicar los objetivos y la dirección de gestión 50.0

APO01-BP5 Optimizar la ubicación de la función de TI. 100.0

APO01-BP6 Definir la propiedad de la información (datos) y del

sistema. 85.0

APO01-BP7 Gestionar la mejora continua de los procesos 75.0

244

APO01-BP8 Mantener el cumplimiento con las políticas y

procedimientos 80.0

Producto de Trabajo (WPs) S/N 78.57%

APO01-WP1 Políticas relativas a TI si

APO01-WP2 Acciones de remediación por no cumplimiento No

APO01-WP3 Evaluación de las opciones para la organización de TI Si

APO01-WP4 Definir la función operacional de las funciones de TI Si

APO01-WP5 Definición de estructura y funciones organizativas Si

APO01-WP6 Directrices operativas de la organización Si

APO01-WP7 Reglas básicas de comunicación Si

APO01-WP8 Definición de roles y responsabilidades relativos a TI Si

APO01-WP9 Definición de prácticas de supervisión Si

APO01-WP10 Evaluaciones de la capacidad de los procesos Si

APO01-WP11 Oportunidades de mejoras de proceso Si

APO01-WP12 Objetivos y métricas de rendimiento para el seguimiento

de la mejora de procesos Si

APO01-WP13 Comunicación de objetivos de TI No

APO01-WP14 Directrices para la clasificación de datos No


En la última fase, se revisó la efectividad de la implementación mediante una segunda

evaluación de la capacidad de nivel uno para el proceso implementado, cuyo resultado se

muestra a continuación.

245

Tabla 4. Evaluación de capacidad de nivel 1 del proceso Gestionar el marco de gestión de

TI

Evaluación de capacidad de nivel 1

del proceso Gestionar el marco de gestión de TI

Cumplimiento del objetivos 100%

Ejecución de prácticas base 81.83%

Uso de productos de trabajo 78.57%

Resultado de evaluación 86.80% = F-completamente alcanzado


Se puede observar del cuadro anterior que se logró mejorar la calificación del proceso de

P-parcialmente alcanzado a F-completamente alcanzado. Por lo que, se valida que la

implementación del proceso fue satisfactoria.

Lecciones Aprendidas

Es indispensable contar con la implementación del dominio de Gobierno de TI, este

domino es el primer paso para alinear los objetivos del negocio con los objetivos de TI. La

información que se obtiene de los resultados del cuadro de indicadores sin duda es

fundamental para realizar una toma de decisiones correcta.

En caso algún proyecto se retrase se pueden tomar las medidas necesarias para agilizar las

actividades de cada uno.

Si no hay un adecuado control por parte de las autoridades y el cliente del proyecto se

pueden tomar las acciones correctivas para regular este índice.

Pero toda acción y decisión parte de un conocimiento brindado por la información que

arrojan los cuadros de control que son documentos alojados en la nube, que es una

herramienta de tecnología de información. De esta forma se adecua las TI para brindar

apoyo y soportar las decisiones a la parte corporativa de la empresa.

246

Mejoras Futuras

Implementación del dominio EDM (Evaluar, Dirigir y Monitorear) en la empresa IT-

Expert.

Implementar los procesos restantes que aplican al dominio APO (Alinear, Planificar y

Organizar):

Gestionar Arquitectura Empresarial

Gestionar Portafolios de Proyectos

Gestionar Recursos Humanos

248

GESTIÓN DEL PROYECTO

El quinto capítulo recopila los distintos planes asociados a la gestión del proyecto según la

metodología PMBOK. Se describe el producto final y se mencionan las lecciones

aprendidas durante el desarrollo del proyecto. En este capítulo encontraremos las

referencias hechas en las primeras páginas del presente documento.

249

PRODUCTO FINAL

La implementación de un modelo estratégico de TI para la empresa IT-Expert mediante

COBIT 5, esto provee resultado cualitativos en diferentes aspectos:

Redefinición de procesos, basados en los dominios de COBIT, para poder adaptarse a los

nuevos grados de madurez, se estructuran los procesos en base a los nuevos tiempos de

cada servicio, definidos con estructuras internacionalmente aceptadas, auditables, medibles

y que integran las mejores prácticas.

Redefinición de roles, responsabilidades y funciones: con intención de asegurar los nuevos

roles, se estructuran, con nuevos indicadores en las nuevas y claridad en los roles y

responsabilidades.

Fortalecimiento en la alineación entre la planificación estratégica de negocios y

planificación estratégica de TI.

Análisis de Riesgos. Un punto fundamental es la inclusión de la Gestión de los Riesgos de

TI. Para llevar adelante este plan se mejoró la metodología y la gestión de los riesgos se

basó en forma inicial a RISK IT. Un punto importante es que en el ciclo anual de Gestión

de Riesgos de TI, se utilizan los principales puntos de control enmarcados en COBIT para

cada proceso de TI y el análisis de Riesgos parte de dicha guía para asegurar el

alineamiento a dicho Marco entre otros factores importantes.

GESTIÓN DEL TIEMPO

Ilustración 39: Cronograma

255

Elaboración Propia

256

GESTIÓN DE LOS RECURSOS HUMANOS

Jefe de Proyecto: Supervisar y controlar la ejecución de las actividades para que se

cumplan todos los objetivos del proyecto. El jefe de proyecto cumple la labor de gestionar el

proyecto de forma eficaz, eficiente y de alta calidad.

Comité: Evaluar el proyecto bajo los estándares establecidos por la Carrera de Ingeniería de

Sistemas de la Universidad Peruana de Ciencias Aplicadas. El comité cumple la labor de

gestionar el proyecto de forma eficaz, eficiente y de alta calidad. El comité brindara una

evaluación manteniendo los estándares en la gestión de proyectos de un Ingeniero de

Sistemas, esto permite mejorar en los diferentes aspectos del rol del Ingeniero de Sistemas.

Cliente Profesor: Brindar la información necesaria e Indicar los requerimientos necesarios

para cumplir con el objetivo principal del proyecto y la aprobación de los entregables del

proyecto. El gerente de IT-Expert brindara la información necesaria para poder definir los

requerimientos y plantear a su vez los objetivos del proyecto.

Gerente Profesor: Brindar apoyo y asesoría durante el desarrollo del proyecto. Por su parte

el Gerente profesor brindará el apoyo y soluciones a las dudas e interrogantes planteadas por

los Jefes de Proyecto para el desarrollo del mismo.

Gerente Alumno: Controlar y supervisar el avance eficaz de los proyectos y mantener

informado a los alumnos de Taller de Proyectos informados de las actividades de la empresa

IT-Expert. Además, la gerente alumno mantendrá un control que ayudara a gestionar mejor

el proyecto y brindara información de actividades de la empresa, de esta forma se tendrá

conocimiento de las fechas de diversas evaluaciones.

257

Analista QA: Verificar y Validar la calidad de los entregable del proyecto. Asimismo,

mediante observaciones se podrán corregir las fallas, defectos y errores que se cometan en la

gestión del proyecto. Asimismo, ayudara en la mejora continua de los Jefes de Proyecto.

Para Quality Services no se fue necesario aun disponer del servicio de un analista, por lo que

no se maneja una gestión del recurso.

Para el alumno de apoyo se Maneja en el Outlook Calendar las reuniones, citas y acuerdos

con el alumno apoyo. Además se maneja una carpeta compartida en la que se administraran

los archivos que se manejen entra los jefes de proyecto y el alumno de apoyo.

258

GESTIÓN DE LAS COMUNICACIONES

Se realizaron comunicaciones con los profesores Cliente y Gerente de tipo reunión

(semanalmente) y por correo electrónico (periódicamente).

Los inconvenientes que surgieron fueron en días feriados, se tuvo que recuperar realizando

dos reuniones seguidas las semanas posteriores a la semana de los días feriados.

Se realizó comunicación de tipo Sincronización de documentos compartidos con los

Profesores Cliente, Gerente y Alumno Gerente para la evidencia de las actividades

realizadas.

El inconveniente que surgió fue un retraso en la semana 12 en el proyecto, que se actualizo

la semana 13, debido a la acumulación de actividades.

Se realizó comunicación con el alumno de apoyo por correo electrónico para la asignación

de sus actividades.

Inconveniente es que solo existe un alumno de apoyo para las actividades, esto se solucionó

luego que este se liberó mediante el cumplimiento de sus actividades con otros proyectos y

posteriormente se le delego a nuestro proyecto.

259

GESTIÓN DE LOS RIESGOS

Tabla 23: Gestión de Riesgos

# Riesgo Probabilidad Impacto Estrategia de mitigación

1 Disponibilidad

horaria del

profesor

cliente.

Probable Alto Comunicación constante con el

cliente. Así como, la

reprogramación de nuevas

reuniones para subsanar

reuniones canceladas.

2 Incumplimient

o de

actividades por

parte del

recurso alumno

asignado

Improbable Medio Mantener una comunicación

constante con nuestro recurso

alumno. Acordar la posibilidad

de solicitar la ayuda de otro

recurso alumno si el asignado no

puede cumplir con sus

actividades ya sea por motivos

de salud o personales.

3 Cambio de

Gerencia en

IT-Expert

Improbable Alto Tomar en consideración los

objetivos a largo plazo.

Implementar la gestión del

cambio para abordar los posibles

cambios de los objetivos de la

empresa.

4 Subestimación

del tiempo de

desarrollo de

los artefactos

Probable Medio Dejar una holgura de tiempo

para las actividades relacionadas

al desarrollo de entregables en el

cronograma.

Elaboración Propia

260

Actividades de seguimiento y control

Definir de medidas de mitigación y contingencia.

Implementar controles para los riegos con criticidad alta.

Los jefes del proyecto tiene el deber de supervisar de manera continua los riesgos

identificados

Actuar de manera inmediata ante la materialización de un riesgo siguiendo los planes de

contingencia

Procedimiento

Identificación de los riesgos del proyecto

Registro de riesgos

Priorización de los riesgos

Evaluación del riesgo

Definición de las acciones que permitan neutralizar o mitigar el riesgo

Para los riesgos de severidad media a alta a los que no se haya añadido un paquete de trabajo

en la EDT, se definirá un plan de contingencia.

Se realizará el seguimiento y control de los riesgos de manera continua.

Tabla 24: Condiciones Definidas para Escalas de Impacto de un Riesgo sobre los Principales

Objetivos del Proyecto

Condiciones Definidas para Escalas de Impacto de un Riesgo sobre los Principales

Objetivos del Proyecto

261

Escala de Impacto

Objetivo del

Proyecto Bajo Moderado Alto

Tiempo Aumento del tiempo

<3%

Aumento del tiempo

del 3-6%

Aumento del tiempo

>6%

Alcance

Disminución del

alcance es apenas

apreciable

Áreas de alcance

principales afectadas

El producto terminado del

proyecto es inservible o

inaceptable para el cliente

Calidad

Degradación de la

calidad es apenas

perceptible

La reducción de la

calidad requiere la

aprobación del cliente

El producto terminado del

proyecto es inservible o

inaceptable para el cliente

Elaboración Propia

262

LECCIONES APRENDIDAS

Es muy importante desde un inicio del proyecto definir un buen plan de gestión de

comunicaciones, que contemple a todas las partes interesadas.

Todos los entregables de gestión del proyecto deben ser enviados a QS para su revisión.

263

CONCLUSIONES

En la primera evaluación, los procesos que componen el modelo obtuvieron una calificación

de P-Parcialmente alcanzado. Por lo que, su nivel de capacidad es 0 – Incompleto, esto

indica que IT-Expert no presenta nivel adecuado en la integración entre los objetivos

empresariales y los objetivos de TI.

Al realizar la segunda evaluación de capacidad del modelo de gestión estratégico de TI

propuesto, se obtuvo una calificación F-Completamente alcanzado, es decir se alcanzó el

nivel 1 de capacidad. Por lo tanto, se valida que la implementación fue exitosa e indica que

se establece el primer paso para una mejora continua en los diferente procesos establecidos,

los mismos que ayudan a mantener una empresa que integre sus objetivos estratégicos y sus

objetivos de TI.

Los resultados del plan de implementación con más valor y aceptación para la empresa IT-

Expert es el relacionado al proceso “Gestionar el marco de gestión de TI”, pues contiene los

productos de trabajo con mayor facilidad de habilitar el logro de los objetivos de TI.

Para la implementación de cualquier proyecto es necesario una constante comunicación con

la gerencia de la empresa y el cliente, pues la dificultad se incrementa a medida que la

implementación envuelve la actualización y creación de información y documentación para

la empresa.

Los productos de trabajo deben estar alineados a los habilitadores de COBIT 5 para que

funcionen como elementos que impulsan el cumplimiento de los objetivos de TI en la

empresa.

La implementación del modelo de procesos propuesto está alineado al negocio de la

empresa, esto conlleva a la aplicación y adaptación de los subprocesos propuestos por el

modelo de procesos del marco de referencia usado para este proyecto. Esto con el fin de

mantener una arquitectura de procesos bajo las buenas prácticas de un marco integrador.

Actualmente, existen muchos marcos de referencias y conjuntos de buenas prácticas

relacionadas a la TI, pero se ha encontrado que si son utilizados de manera colectiva se

tornan muy confusos y difíciles de integrar, incluso pueden llegar a obstruirse entre ellos.

264

COBIT 5 es un marco que integra las mejores prácticas planteadas por otros marcos de

trabajo, estándares o normas internacionales más usadas en la actualidad. Por lo que, la

implementación de futuros proyectos basadas en estas serán totalmente compatibles con el

modelo propuesto.

Existe una dependencia entre el cumplimiento de las necesidades de la alta dirección y los

objetivos de TI. El uso objetivo de soluciones de TI ayudan a mantener un control en el

cumplimiento de las necesidades del gobierno empresarial, tanto a nivel de los gerentes de

cada empresa como de los jefes de cada proyecto. Hecho que se hace evidente en los

controles y evaluaciones hacia la adecuada y eficiente gestión de los proyectos profesionales

en sus diferentes etapas.

El apoyo de la dirección ejecutiva desde un inicio del proyecto fue un factor importante para

el éxito del mismo, ya que cada vez que se presentaba un inconveniente, se resolvía de

manera rápida porque se tenía mapeado a todos los responsables y partes interesadas.

265

RECOMENDACIONES

Se recomienda realizar evaluaciones de capacidad posteriores a la implementación del

proyecto con fin de mejorar el nivel de capacidad de los procesos de la empresa IT-Expert.

Así conforme al marco de referencia usado en este proyecto seguiremos con la mejora

continua en los diferentes procesos y habilitadores de objetivos.

Es necesario diseñar un modelo de gobierno de TI para la empresa IT-Expert con el fin de

crear y mejorar objetivos empresariales que fortalezcan la identidad y establezcan

eficientemente el perfil de la empresa.

Existe una necesidad de establecer una relación fuerte entre el Gobierno y la Gestión en IT-

Expert, con el fin de añadir valor a la empresa mediante la Gestión de planes de acción con

proyectos que se lleven a cabo para el cumplimiento de los objetivos establecidos por el

Gobierno, así se tendrá un control y equilibrio entre los riesgos y el retorno sobre TI y

también los procesos en concordancia con el modelo de propuesto.

Se recomienda implementar los principales procesos del dominio "Evaluar, Orientar y

Supervisar" y el dominio "Supervisar, Evaluar y Valorar" ya que los procesos de estos

dominios completan el ciclo de mejora continua del modelo estratégico APO (Alinear,

Planificar y Organizar) del cual se adaptó e implemento el proceso "Gestionar el marco de

gestión de TI". Los dominios "Evaluar, Orientar y Supervisar" y “Supervisar, Evaluar y

Valorar” están orientados al Gobierno y Control, ambos dominios son fundamentales en la

mejora continua de la empresa.

Se recomienda establecer una integración entre las diferentes empresa de la escuela de

ingeniería, de esta forma se pueden establecer proveedores, clientes, procesos,

documentación, políticas, roles, etc. Esto ayudara a crear un ambiente más real entre las

empresas virtuales.

266

GLOSARIO

Atributo (de capacidad) de un proceso: Una característica medible de una capacidad de

proceso aplicable a cualquier proceso.

Buena práctica: Una actividad o proceso probado que se ha puesto en práctica con éxito por

múltiples empresas y se ha demostrado que produce resultados fiables.

Capacidad de un proceso: Una caracterización de la capacidad de un proceso para alcanzar

las metas del negocio sean actuales o proyectadas.

Catalizador: Factores externos e internos que inician y afectan cómo la empresa o el

individuo actúan o cambian.

Estructura organizativa: Un catalizador del gobierno y de la gestión. Incluye la empresa y

sus estructuras, jerarquías y dependencias.

Gestión: Incluye el uso juicioso de medios (recursos, personas procesos, prácticas, etc.) para

conseguir un fin identificado. Es un medio o instrumento mediante el cual el grupo que

gobierna consigue un resultado u objetivo. La gestión es responsable de la ejecución dentro

de la dirección establecida por el grupo que gobierna. La gestión se refiere a las actividades

operacionales de planificación, construcción, organización y control que alinean con la

dirección que establece el grupo que gobierna y la información sobre dichas actividades.

Gobierno25

: El marco, principios y políticas, estructuras, procesos y prácticas, información,

habilidades, cultura, ética y comportamiento que establecen la dirección y verifican que

cumplimiento y rendimiento de una empresa están alineados con el propósito general y los

objetivos definidos. El gobierno define quién tiene la responsabilidad última de que las

cosas se hagan, la responsabilidad y la capacidad de decisión (entre otros elementos).

25

El gobierno asegura que las necesidades, condiciones y opciones de las partes interesadas

son evaluadas para determinar los objetivos de empresa acordados y equilibrados que han de

ser alcanzados; establecer la dirección mediante la priorización y toma de decisiones; y

supervisando el rendimiento y el cumplimiento respecto a la dirección y objetivos

acordados. Cfr. COBIT 5 2012.

267

Gobierno de TI empresarial: Un enfoque de gobierno que garantiza que las tecnologías de

información y las relacionadas soportan y habilitan la estrategia de la empresa y la

consecución de las metas corporativas. También incluye el gobierno funcional de TI, por

ejemplo, garantizando que las capacidades de TI son provistas de forma eficiente y efectiva.

Marco de referencia: Es el conjunto de conceptos y criterios dentro de un estándar. Es

necesario para desarrollo de actividades debido a que sirve como una referencia para

enfrentarse a diversos problemas en un ambiente definido.

Modelo: Un modo de describir un conjunto de componentes y de como esos componentes se

relacionan entre ellos para describir el funcionamiento principal de un objeto, sistema o

concepto.

Objetivo: Declaración de un resultado deseado.

Objetivo de negocio: La traducción de la misión de la empresa desde una expresión de

intenciones a unas metas de rendimiento y resultados.

Objetivo de TI: Una declaración describiendo el resultado deseado de las TI empresariales

como soporte a los objetivos de la empresa. Un resultado puede ser un elemento, un cambio

significativo de estado o una mejora de capacidades significativa.

Práctica de gobierno/gestión: Para cada proceso COBIT, las prácticas de gobierno y

gestión proveen un conjunto completo de requerimientos de alto nivel para el gobierno y la

gestión efectiva y práctica de TI de una empresa. Se trata de declaraciones de acción de los

cuerpos de gobierno y gestión.

268

SIGLARIO

IMGETI: Implementación de un modelo de gestión estratégica de TI

EUP: Enterprise Unified Process

BPMN: Business Process Modeling Notation

ISACA: Information Systems Audit and Control Association

COBIT: Control Objectives for Information Systems and related Technology

ISO: International Organization for Standardization

GEIT: Gobierno corporativo de tecnologías de información.

269

BIBLIOGRAFÍA

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012a)

COBIT 5 Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.

Rolling Meadows: ISACA consulta: de abril de 2014

www.isaca.org COBIT Documents COBIT5-Framework-Spanish.pdf )

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012b)

COBIT 5 Procesos Catalizadores. Rolling Meadows: ISACA

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012c)

COBIT 5 Implementation. Rolling Meadows: ISACA

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012d)

Process Assessment Model (PAM): Using COBIT 5. Rolling Meadows: ISACA

INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL) (2014) Página

web oficial de ITIL que contiene información acerca del marco de trabajo (consulta: 9 de

junio de 2014) (www.itil-officialsite.com)

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) (2014) Página

web oficial de la ISO que contiene información acerca de los estándares internacionales

(consulta: 9 de junio de 2014) (www.iso.org)

270

ANEXOS

ANEXO 1: Actas de Reunión 1era Etapa

Proyecto: PIEGV – Definicion de la Metodologia de la Gestión de Incidencias para las empresas virtuales

Fecha: 28/03/2014 N°: 001

Acta de Reunión N°001

Sección 1. Información General

Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin

PIEGV – Definicion de la Metodologia de la Gestión de

Incidencias para las empresas virtuales

28/03/2014 5:00 pm 6:00 pm

Elaborado por:

Juro Pereira, Peter

Asistentes Cargo Asistió

Juro Pereira, Peter Jefe de Proyecto Si

Velasquez Vara, Carlos Andres Jefe de Proyecto Si

Rosas Acevedo, Vania Cliente Si

Sección 2. Agenda

Nro. Tema

01 Descripción del proyecto.

02 Alcance del proyecto

03 Requerimientos del proyecto

Sección 3. Detalle de lo Tratado

Nro. Tema

Descripción

01 Se definiócomo se encuentran actualmente la gestión de servicios de las empresas virtuales.

02 Se vió el alcance al cual se puede llegar con el proyecto, lo que involucra la etapa de operación del servicio, principalmente la Gestión de Incidencias y la Gestión de Eventos.

03 Se planteó el tema de implementar una herramienta de código abierto como parte del alcance del proyecto que soporte todos los procesos en la etapa de operación del servicio.

Sección 4. Acuerdos

Nro. Acuerdo Acuerdo

01 La Gestión de Accesos queda fuera del alcance.

02 Las reuniones con el cliente se desarrollarán semanalmente los miércoles a partir del 02/04/2014 a las 5pm.

271

Sección 5. Tareas

Nro. Tarea

Descripción de la Tarea Responsable Fecha

01 Definir el objetivo general y específicos Jefes de proyecto 30/03/2014

02 Investigar la Gestión de incidencias, Gestión de Eventos,

Gestión de Problema, Gestión de requerimiento y Peticiones

Jefes de proyecto 02/04/2014

03 Investigar la etapa de operación de servicios de ITIL v3 Jefes de proyecto 02/04/2014

04 Investigar PinkVERIFY Jefes de proyecto 02/04/2014

Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto

Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto

Nombre: Vania Rosas Acevedo

Cargo: Cliente

272

Proyecto: IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT

Fecha: N°: 02

Acta de Reunión N° 2



IMGETI - IMPLEMENTACION DE MODELO DE GESTIÓN

ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT

5:00 pm 6:00 pm

Elaborado por:

Juro Pereira, Peter




Rosas Acevedo, Vania Cliente. Si

Sección 2. Agenda

Nro. Tema

01 Definir el alcance del proyecto

02 Acordar complementar el uso de diferentes metodologías


Nro. Tema

Descripción

01 Seguridad de Informacion



01 Se eliminó el proyecto

02 Se acordó buscar una nueva propuesta de Cliente

273

Sección 5. Tareas

Nro. Tarea


01 Tareas de proyecto anterior eliminadas, nuevo proyecto

“IMPLEMENTACION DE MODELO DE GESTIÓN

ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT”, esta

información nos la dieron


02 Escoger un tema de seguridad de la información que pueda a

aplicarse a IT-Expert.


03 Proponer un cliente Jefes de proyecto 02/04/2014




Cargo: Cliente

274

Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert

Fecha: N°: 3




Implementación de modelo de gestión estratégica en los servicios de TI para IT-ExpertGESTI 09/04/2014

05:00 p.m. 06:00 p.m.

Elaborado por:

Juro Pereira, Peter

Asistentes Cargo Asistió Asistió

Juro Pereira, Peter Jefe de Proyecto Si Si

Velasquez Vara, Carlos Andres Jefe de Proyecto Si Si

Rosas Acevedo, Vania Cliente. Si Si

Sección 2. Agenda

Nro. Tema

01 Nuevo proyecto por definir

02 Establecer alcance de proyecto


Nro. Tema

Descripción

01 Definir estrategia de crecimiento en la innovación.

02 Definir cuáles son los objetivos y proyecciones de los negocios.



01 Nuevo proyecto en marcha.

02 Nombre de. Proyecto "Implementación de modelo de gestión estratégica en los servicios de ti para IT-Expert"

275

Sección 5. Tareas

Nro. Tarea


01 Investigación Cobit 5 03/04/2014

02 Investigar la planificación y objetivos estratégicos de IT-Expert 03/04/2014

03 Project Charter v 1.0 Objetivos, problemática y alcance del proyecto

03/04/2014




Cargo: Cliente

276


Fecha: N°: 4




Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI

16/04/2014

05:00 p.m. 06:00 p.m.

Elaborado por:

Velásquez Vara, Carlos A.



Velásquez Vara, Carlos Andrés Jefe de Proyecto Si


Sección 2. Agenda

Nro. Tema

01 Lista de procesos del primer dominio de gestión de TI según COBIT 5 aplicables a IT-Expert

02 Revisión de Project Charter v1.0


Nro. Tema

Descripción

01 Revisión los procesos del primer dominio de gestión según Cobit 5 (Alinear, planificar y organizar)

02 Revisión de la problemática , objetivos del proyecto, así como, sus indicadores de éxito.



01 El proceso "Gestionar el presupuesto y los costes" no aplica para nuestro caso

02 Cambiar el objetivo especifico No 3 y su indicador de éxito.

277

Sección 5. Tareas

Nro. Tarea


01 Terminar el documento Project Charter al 100% Carlos Velásquez Semana 5

02 Realizar los demás entregables para la exposición ante el

profesor gerente de IT-Expert

Carlos Velásquez,

Peter Juro

Semana 5




Cargo: Cliente

278

Proyecto: Implementación de un modelo de gestión estratégica en los servicios de TI para IT-Expert

Fecha: N°: 5





23/04/2014

05:00 p.m. 06:00 p.m.

Elaborado por:






Sección 2. Agenda

Nro. Tema

01 Revisión de project charter v1.1

02 Revisión de cronograma v1.1

03 Revision de artefactos solicitados


Nro. Tema

Descripción

01 Asesoría de Project Charter.

02 Asesoría de Cronograma.

03 Feedback de artefactos de entrega.

04 Asesoría presentación al comité

05 Entregables relacionados a la gestión del proyecto

08 Recomendaciones de la presentación



01 Modificación del cronograma, nueva división de fases.

279

02 Modificación del project charter(marco teórico, resumen ejecutivo, objetivos)

03 Desarrollar los artefactos en base al PMBOK la guía.

Sección 5. Tareas

Nro. Tarea



02 Realizar nuevas modificacione a los entregables. Carlos Velásquez,

Peter Juro

Semana 5

03 Preparar una presentacion para el comité con un maximo de una

grafica por artefacto.




Cargo: Cliente

280


Fecha: N°: 6





30/05/2014 05:00 p.m. 06:00 p.m.

Elaborado por:






Sección 2. Agenda

Nro. Tema

01 Revisión de la presentación

02 Guías de COBIT 5 necesarias


Nro. Tema

Descripción

01 Revisión de la estructura de la presentación

02 Definir las guías necesarias de la familia COBIT 5 para consulta durante el proyecto



01 Mejora de estructura de la presentación (75% acerca del proyecto y 25% acerca de la gestión del proyecto)

02 Conseguir las guías COBIT 5: Enabling Processes y COBIT 5: Implementation

281

Sección 5. Tareas

Nro. Tarea


01 Mejorar la presentación antes de la semana 7 según lo acordado Carlos Velásquez Semana 6

02 Traer las guías de COBIT 5 definidas en la reunión Carlos Velásquez,

Peter Juro

Semana 7




Cargo: Cliente

282


Fecha: N°: 7





07/05/2014 05:00 p.m. 06:00 p.m.

Elaborado por:






Sección 2. Agenda

Nro. Tema

01 Revisión de cronograma

02 Revisión del EDT

03 Identificación de siguientes actividades


Nro. Tema

Descripción

01 Se revisó el avance con respecto al cronograma y EDT del proyecto

02 Se vio conveniente una forma de realizar la identificación del Plan estratégico por medio de una reunión con el comité



01 Identificación del plan estratégico a partir de una reunión con el comité

02 Obtener guías de COBIT 5 por el gerente de la empresa IT-Expert

03 Identificar objetivos a largo plazo de IT-Expert actualizados

283

Sección 5. Tareas

Nro. Tarea


01 Reunión con el Gerente profesor Peter Juro Pereira 08/05/2014

02 Investigación de las Guías EnablingProcess e Implementation. Carlos Velásquez,

Peter Juro

Semana 9




Cargo: Cliente

284


Fecha: N°: 8





21/05/2014 05:00 p.m. 06:00 p.m.

Elaborado por:



Juro Pereira, Peter Jefe de Proyecto No


Rosas Acevedo, Vania Profesor Cliente Si

Sección 2. Agenda

Nro. Tema

01 Presentar los resultados de la reunión con el gerente de IT-Expert con relación a las metas de la empresa.

02 Presentar resumen de las guías COBIT implemetation y EnablingProcesses

03 Ver los casos de éxito relacionados a COBIT 5 (repositorio académico de la UPC)


Nro. Tema

Descripción

01 Revisión de lo obtenido en la reunión con el gerente de IT-Expert

02 Revisión de la metodología de implementación según COBIT 5: implementation



01 A pesar de que se tiene un plan estratégico en la memoria de la empresa virtual( que está desactualizada), es necesario conseguir las proyecciones de IT-Expert.

02 En la siguiente reunión se revisarán los casos de éxito.

285

Sección 5. Tareas

Nro. Tarea


01 Reunirse con la Directora de la carrera y/o decano para obtener

las proyecciones de crecimiento de la empresa IT-Expert.

Peter Juro 28/05/2014

02 Revisar exhaustivamente la metodología y las fases de

implementación.

Carlos Velásquez 28/05/2014




Cargo: Cliente

286


Fecha: 01/06/2014 N°: 9





30/05/2014 05:00 p.m. 06:00 p.m.

Elaborado por:






Sección 2. Agenda

Nro. Tema

01 Presentar resumen de las guías COBIT implemetation y EnablingProcesses

02 Ver los casos de éxito relacionados a COBIT 5 (repositorio académico de la UPC)

03 Presentar informes de estado del arte


Nro. Tema

Descripción

01 Se revisaron los informes de las fuentes del estado del arte

02 Se revisaron las memorias pasadas de proyectos involucrados con IT-Expert


Nro. Acuerdo

Acuerdo

01 Definir los objetivos estratégicos de la empresa junto con el proyecto CD5

02 Las siguiente sesión se realizara la presentación del informe de las guías de la familia Cobit 5

287

Sección 5. Tareas

Nro. Tarea


01 Definir casos de negocio de la empresa IT-Expert a nivel

Gerencia

Peter Juro Semana 11

02 Discutir con los integrantes del proyecto CD5 los objetivos

estrategicos

Carlos Velásquez Semana 11




Cargo: Cliente

288


Fecha: 03/07/2014 N°: 10





03/07/2014 05:00 p.m. 06:00 p.m.

Elaborado por:






Sección 2. Agenda

Nro. Tema

01 Revisión de la fase 1


03 Revisión de la memoria


Nro. Tema

Descripción

01 Se revisaron los puntos débiles y eventos desencadenantes, y las responsabilidades de las partes interesadas

02 Se revisaron la cascada de metas, la evaluación de la capacidad de los procesos


Nro. Acuerdo

Acuerdo

01 Es necesario utilizar una terminología estándar en toda la memoria

02 Explicar los puntos señalados por la profesora cliente en la memoria

289

Sección 5. Tareas

Nro. Tarea


01 Realizar las correcciones correspondientes en los puntos

relacionados a la fase 1 y fase 2 en la memoria

Peter Juro Semana 15

02 Buscar los mismos tipos de correcciones en la fase 3 Carlos Velásquez Semana 15




Cargo: Cliente

290


Fecha: 09/07/2014 N°: 11





09/07/2014 05:00 p.m. 06:00 p.m.

Elaborado por:






Sección 2. Agenda

Nro. Tema

01 Revisión del marco teórico



Nro. Tema

Descripción

01 Se revisaron las partes de la memoria restantes

02 Se puso más importancia a la fase 3 y al marco teórico


Nro. Acuerdo

Acuerdo

01 Se deben corregir los puntos señalados en la memoria

02 Enviar la presentación del proyecto para una revisión

291

Sección 5. Tareas

Nro. Tarea


01 Corregir el formato de las tablas Peter Juro Semana 16

02 Agregar párrafos que expliquen mejor los entregables mostrados

en la fase 3

Carlos Velásquez Semana 16

03 Enviar la presentación final del proyecto Peter Juro Semana 16




Cargo: Cliente

292

Proyecto: PIEGV – Definición de la Metodología de la Gestión de Incidencias para las empresas virtuales

Fecha: 28/03/2014 N°: 001

Acta de Reunión N°001



PIEGV – Definición de la Metodología de la Gestión de

Incidencias para las empresas virtuales

28/03/2014 5:00 pm 6:00 pm

Elaborado por:

Juro Pereira, Peter





Paul Rivas Galloso Gerente Si

Sección 2. Agenda

Nro. Tema

01 Descripción del proyecto.

02 Alcance del proyecto

03 Requerimientos del proyecto


Nro. Tema

Descripción

01 Se definiócomo se encuentran actualmente la gestión de servicios de las empresas virtuales.

02 Se vio el alcance al cual se puede llegar con el proyecto, lo que involucra la etapa de operación del servicio, principalmente la Gestión de Incidencias y la Gestión de Eventos.

03 Se planteó el tema de implementar una herramienta de código abierto como parte del alcance del proyecto que soporte todos los procesos en la etapa de operación del servicio.



01 La Gestión de Accesos queda fuera del alcance.

02 Las reuniones con el cliente se desarrollarán semanalmente los martesa partir del 01/04/2014 a las 5pm.

03 Tratar de abarcar toda la fase de operación de ITIL v3.0

293

Sección 5. Tareas

Nro. Tarea


01 Definir el objetivo general y específicos Jefes de proyecto 30/03/2014

02 Investigar la Gestión de incidencias, Gestión de Eventos,

Gestión de Problema, Gestión de requerimiento y Peticiones


03 Investigar la etapa de operación de servicios de ITIL v3 Jefes de proyecto 02/04/2014

04 Investigar COBIT 5 en la parte estrategica Jefes de proyecto 02/04/2014

Proyecto: IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT

Fecha: N°: 02




IMGETI - IMPLEMENTACION DE MODELO DE GESTIÓN


5:00 pm 6:00 pm

Elaborado por:

Juro Pereira, Peter






Sección 2. Agenda

Nro. Tema

01 Definir el alcance del proyecto

02 Acordar complementar el uso de diferentes metodologías


Nro. Tema

Descripción

01 Seguridad de Informacion



01 Se eliminó el proyecto

02 Se acordó buscar una nueva propuesta de Cliente

294

Sección 5. Tareas

Nro. Tarea


01 Tareas de proyecto anterior eliminadas, nuevo proyecto

“IMPLEMENTACION DE MODELO DE GESTIÓN

ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT”, esta

información nos la dieron


02 Escoger un tema de seguridad de la información que pueda a

aplicarse a IT-Expert.


03 Proponer un cliente Jefes de proyecto 02/04/2014

295


Fecha: N°: 3




Implementación de modelo de gestión estratégica en los servicios de TI para IT-ExpertGESTI 09/04/2014

05:00 p.m. 06:00 p.m.

Elaborado por:

Juro Pereira, Peter

Asistentes Cargo Asistió Asistió

Juro Pereira, Peter Jefe de Proyecto Si Si

Velásquez Vara, Carlos Andrés Jefe de Proyecto Si Si

Rosas Acevedo, Vania Cliente. Si Si

Paul Rivas Galloso Gerente Si Si

Sección 2. Agenda

Nro. Tema

01 Nuevo proyecto por definir

02 Establecer alcance de proyecto


Nro. Tema

Descripción

01 Definir estrategia de crecimiento en la innovación.

02 Definir cuáles son los objetivos y proyecciones de los negocios.



01 Nuevo proyecto en marcha.

02 Nombre de. Proyecto "Implementación de modelo de gestión estratégica en los servicios de ti para IT-Expert"

Sección 5. Tareas

Nro. Tarea


01 Investigación COBIT 5 03/04/2014

02 Investigar la planificación y objetivos estratégicos de IT-Expert 03/04/2014

03 Project Charter v 1.0 Objetivos, problemática y alcance del proyecto

03/04/2014

296


Fecha: N°: 4





15/04/2014

04:00 p.m. 06:00 p.m.

Elaborado por:







Sección 2. Agenda

Nro. Tema

01 Lista de procesos del primer dominio de gestión de TI según COBIT 5 aplicables a IT-Expert

02 Revisión de Project Charter v1.0

03 Riesgo de duplicación de proyectos.


Nro. Tema

Descripción

01 Revisión los procesos del primer dominio de gestión según COBIT 5 (Alinear, planificar y organizar)

02 Revisión de la problemática, objetivos del proyecto, así como, sus indicadores de éxito.

03 Se ve los procesos que tienen relación con la empresa IT-Expert

04 Se ve la relación que hay entre los procesos de la empresa con otras empresas.



01 El proceso "Gestionar el presupuesto y los costes" no aplica para nuestro caso

02 Cambiar el objetivo específico No 3 y su indicador de éxito.

297

03 Se tomaran los 13 procesos para implementar en la empresa IT-Expert.

04 Se llega a un acuerdo con el otro grupo que se quedara con el 3er dominio de (Entregar, dar servicio y Soporte)

Sección 5. Tareas

Nro. Tarea



02 Realizar los demás entregables para la exposición ante el

profesor gerente de IT-Expert

Carlos Velásquez,

Peter Juro

Semana 5

298

Proyecto: Implementación de un modelo de gestión estratégica en los servicios de TI para IT-Expert

Fecha: N°: 5





22/04/2014 23/04/2014

05:00 p.m. 06:00 p.m.

Elaborado por:







Sección 2. Agenda

Nro. Tema

01 Revisión de ProjectCharter v1.1

02 Revisión de cronograma v1.1

03 Revisión de artefactos solicitados


Nro. Tema

Descripción

01 Asesoría de Project Charter.

02 Asesoría de Cronograma.

03 Feedback de artefactos de entrega.

04 Asesoría presentación al comité

05 Entregables relacionados a la gestión del proyecto

08 Recomendaciones de la presentación



299

01 Modificación del cronograma, nueva división de fases.

02 Modificación del ProjectCharter(marco teórico, resumen ejecutivo, objetivos)

03 Desarrollar los artefactos en base al PMBOK la guía.

Sección 5. Tareas

Nro. Tarea



02 Realizar nuevas modificacione a los entregables. Carlos Velásquez,

Peter Juro

Semana 5

03 Preparar una presentacion para el comité con un maximo de una

grafica por artefacto.

300

ANEXO 2: EDT del Proyecto 1era Etapa

301

Proyecto Siglas

IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI

PARA LA EMPRESA IT-EXPERT

IMGETI

Jefes de Proyecto

Peter Juro Pereira

Carlos Velásquez Vara

Empresa Virtual IT-Expert

Profesor Gerente Paul Rivas Galloso

Profesor Cliente Vania Rosas Acevedo

Actividad Planificado Real

Paquete/resultado Paquete/resultado Observaciones

1 Se plantea ITIL v3

como fuente principal

de información para la

investigación.

Nuevo Objetivo General,

Objetivos específicos,

Alcance.

Sin observaciones

2 Se acuerda realizar la

investigación solo en la

parte de Gestión de

Incidencias para el

proyecto.

Se investigó la fase de

operación en de ITIL v3

para el proyecto.

Sin observaciones

3 Se propuso la

investigación de

diferentes marcos como

Pink Verify, COBIT 5,

Se logró investigar

COBIT 5 Framework en

un comienzo e ITIL v3 en

Pink Verify se investigó sin mucha

profundidad.

FORMATO DE SEGUIMIENTO A PROYECTO

TALLER DE PROYECTO 1

SEMESTRE 2014-01

EDT – SEMANA 1

302

etc. la fase Operación.

303

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Modificación de

Project Charter

Nuevo Objetivo General,

Objetivos específicos,

Alcance,

Se cambió el proyecto “DEFINICIÓN

DE LA METODOLOGÍA DE LA

GESTIÓN DE INCIDENCIAS PARA

LAS EMPRESAS VIRTUALES” por el

proyecto “IMPLEMENTACION DE

MODELO DE GESTIÓN

ESTRATÉGICA DE TI PARA LA

EMPRESA IT-EXPERT”

2 Modificación de

Cronograma

Modificación de

actividades en el

cronograma y sus

diferentes Hitos

Sin observaciones

3 Modificación de Nuevo objetivo general y Sin observaciones



SEMESTRE 2014-01

EDT – SEMANA 2

304

Objetivo General objetivos específicos por

definir con el cliente

4 Nueva captura de

requerimientos

Reunión fijada para la

semana 3

Sin observaciones

5 Investigación de nuevo

marco de referencia

Reunión con el profesor

de apoyo para definir un

marco.

Se acordó que el nuevo proyecto tomaría

como marco de referencia COBIT 5 y

estaría orientado a la parte estratégica de

TI.

305

Proyecto Siglas


PARA LA EMPRESA IT-EXPERT IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Investigación etapa

estratégica COBIT 5

Definición de procesos

que están relacionados

con la etapa estratégica

Sin observaciones.

2 Investigación de otros

marcos de referencia

TOGAF, ITIL, ISO 27001 Sin observaciones.

3 Proyect Charter v1.0 Se realizó el Proyect

Charter en un 40%.

Sin observaciones.

4 Definición de Objetivos Se definió el objetivo

principal y los objetivos

específicos

Sin observaciones.



SEMESTRE 2014-01

EDT – SEMANA 3

306

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Project Charter v1.1 Se realizó el Project

Charter en un 100%.

Sin observaciones.

2 Documento Gestión de

Comunicaciones v1.0

Se realizó la primera

versión del documento

Sin observaciones.


Personal v1.0



Sin observaciones.


Riesgo v1.0



Sin observaciones.

5 Documento Matriz de

Comunicaciones v1.0



Sin observaciones.



SEMESTRE 2014-01

EDT – SEMANA 4

307

6 Documento Plan

Gestión de Alcance

v1.0



Sin observaciones.

7 Documento Plan

Gestión de Calidad v1.0



Sin observaciones.

9 Documento Registro de

Interesados v1.0



Sin observaciones.

10 Cronograma v1.0 Se realizó la primera


Sin observaciones.

11 Documento Diccionario

de EDT v1.0



Sin observaciones.

12 Índice de Memoria v1.0 Se realizó la primera


Sin observaciones.

308

Proyecto Siglas

IMPLEMENTACION DE UN MODELO DE GESTIÓN ESTRATÉGICA DE TI


IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Project Charter v1.2 Se realizó el Project

Charter en un 100%.

Se cambió el marco teórico el resumen

ejecutivo, los objetivos


Comunicaciones v1.0



Sin observaciones.


Personal v1.0



Sin observaciones.


Riesgo v1.0



Sin observaciones.

5 Documento Matriz de

Comunicaciones v1.0



Sin observaciones.



SEMESTRE 2014-01

EDT – SEMANA 5

309

6 Documento Plan

Gestión de Alcance

v1.0



Sin observaciones.

7 Documento Plan

Gestión de Calidad v1.0



Sin observaciones.

9 Documento Registro de

Interesados v1.0



Sin observaciones.

10 Cronograma v1.2 Se realizó la primera


Se define un nuevo modelo para el

cronograma

11 Documento Diccionario

de EDT v1.0



Sin observaciones.

12 Índice de Memoria v1.0 Se realizó la primera


Sin observaciones.

13 Actas de reunión con el

profesor

Se obtiene información en los audios

grabados

14 Actas de reunión con el

profesor y con el cliente

Se obtiene información en los audios

grabados

15 Se genera el índice de la

memoria del proyecto

Se crea la memoria del proyecto a partir

de los artefactos creados

310

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Presentación v1.0 Se realiza la presentación

al comité

Sin observaciones.

2 Definición de las guías

de COBIT a consultar

durante el proyecto.

1.Framework

2.Implementation

3.Enabling process

Se necesita comprar las guías 2 y 3.



SEMESTRE 2014-01

EDT – SEMANA 6

311

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Obtener Guías COBIT 1.Framework

2.Implementation

3.Enabling process

Se pudo conseguir las Guías por medio

de la profesora Jessica Echenique. El día

Sábado 10/05/2014

2 Investigación de

metodología y pasos a

seguir mediante las

Guías

1.Framework

2.Implementation

3.Enabling Process

Se realizara un estudio de las guías en lo

que resta de las semanas 7 y Semana 8

para lograr identificar los pasos a seguir

en los procesos de la implementación de

Modelo de gestión estratégica.

Definición de objetivos

de IT- Expert y Plan

estratégico.

Se obtiene información a

partir de Memorias

pasadas.

Mediante el uso de memorias de

proyectos pasados para la empresa IT-

Expert se identifican los objetivos y plan

estratégico.



SEMESTRE 2014-01

EDT – SEMANA 7

313

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira




Profesor Cliente VaniaRosas Acevedo



1 Buscar fuentes de

información para el

estado del arte

Se encontraron las fuentes

que se usarán en la

elaboración del estado del

arte

Se realizó las búsquedas en los

repositorios recomendados por el asesor.

2 Revisión de los

objetivos de la empresa

IT-Expert

Se revisó los objetivos con

el profesor cliente

Los objetivos son muy técnicos. Es

necesario una reunión adicional para

obtener las proyecciones de la empresa

IT-Expert

3 Identificar los puntos

débiles

Se identificaron los puntos

débiles a partir de un

análisis con la gerente

alumno de la empresa IT-

Expert.

Sin observaciones.



SEMESTRE 2014-01

EDT – SEMANA9

314

4 Identificación de

eventos disparadores

Se identificaron los

eventos disparadores de la

empresa que motivan a la

implementación de una

gestión de TI

Sin observaciones.

5 Identificar los

interesados y sus roles y

responsabilidades.

Se inicia la identificación

de las personas

interesadas y sus roles y

responsabilidades para el

proyecto.

Retraso, sin finalizar.

315

Proyecto Siglas

IMPLEMENTACION DE UN MODELO DE GESTIÓN


IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Desarrollar

informes para el

estado del arte

Se desarrollaron 5

informes a partir de

documentos

científicos sobre la

implementación de

una metodología para

la gestión estratégica

Sin observaciones

2 Reunión y

presentación con el

profesor asesor

Se presentaron los

informes de la

investigación del

Los documentos científicos

deben ser parte de un Journal.



SEMESTRE 2014-01

EDT – SEMANA10

316

Mauricio para

revisión de los

informes del estado

del arte

estado del arte al

profesor para su

revisión.

3 Identificación e

interesados y sus

roles y sus

responsabilidades

Se finaliza la

identificación de los

roles, interesados y

responsabilidades.

Actividades de la semana

anterior.

4 Identificación de los

objetivos de TI con

los objetivos del

negocio

Se identificaron los

objetivos de ti

vinculados o

relacionados a los

objetivos del negocio

mediante el mapeo o

cascada de metas

Sin observaciones

317

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Definir método para

la ejecución de la

evaluación

Se evalúan mediante

las listas de revisiones

todos los procesos

propuestos por COBT

5 para IT-Expert.

Sin observaciones

2 Determinar y

analizar el nivel de

capacidad

Mediante la

información obtenida

por las listas de

revisiones se empieza

a armar el documento

Sin observaciones



SEMESTRE 2014-01

EDT – SEMANA11

318

para analizar el nivel

de capacidad.

319

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Determinar nivel de

capacidad

Se determina el nivel

de capacidad actual

de la empresa IT-

Expert.

Sin observaciones.

2 Identificar

potenciales

oportunidades de

mejora

A partir del nivel de

capacidad actual de la

empresa se identifican

las potenciales

oportunidades de

mejora de la empresa

Sin terminar



SEMESTRE 2014-01

EDT – SEMANA12

320

IT-Expert.

3 Investigación de

papers científicos

para el desarrollo

del estado del arte.

Investigación y

desarrollo del estado

del arte primera

versión mediante el

tópico modelo.

En proceso.

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira









SEMESTRE 2014-01

EDT – SEMANA13

321

1 Identificar

potenciales

oportunidades de

mejora

Se logró identificar

los potenciales

oportunidades de

mejora (Definición de

proceso, redefinición

de procesos y

desarrollo de

plantillas de

entregables)

Finalizado.

2 Investigación de

papers científicos

para el desarrollo

del estado del arte.

Se investigan

documentos

científicos en journas.

En proceso

322

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Priorización de

oportunidades

Se priorizan las

oportunidades a

desarrollarse en el

proyecto.

Sin observaciones

2 Definición del plan

de implementación

Se define el plan de

implementación de

alto nivel y Hoja de

ruta.

Sin observaciones



SEMESTRE 2014-01

EDT – SEMANA14

323

3 Desarrollo del

estado del arte

Se desarrolla el esta

del arte y anexa a la

memoria

Finalizado

4 Entrega de la

memoria para

revisión del

Profesor gerente

Se entrega la memoria

para revisión del

profesor gerente.

Sin observaciones

324

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Corrección del

feedback del

profesor gerente

Se reciben

recomendaciones del

profesor gerente.

Sin observaciones

2 Presentación y

feedback de la

memoria finalizada

al cliente

Se entrega el

documento luego del

feedback del gerente

y su corrección.

Sin observaciones



SEMESTRE 2014-01

EDT – SEMANA15

325

Proyecto Siglas



IMGETI

Jefes de Proyecto

Peter Juro Pereira







1 Correcciones del

Cliente Profesor

Se desarrollaron las

correcciones

necesarias a la

memoria.

Sin observaciones

2 Correcciones del

nuevo feedback del

gerente

Se realizan nuevas

correcciones al

documento por parte

del gerente la semana

15 al finalizar la

Sin observaciones



SEMESTRE 2014-01

EDT – SEMANA16

326

semana.

ANEXO 3: CRONOGRAMA DE ACTIVIDADES

328

ANEXO 4: Lista de Revisiones

APO01.01 Definir la estructura organizativa. ¿Aplica? ¿Cumple? NO SI Prom

1. Definir el alcance, las funciones internas y

externas, los roles internos y externos, y las

capacidades y los derechos de decisión

requeridos, incluidas actividades de TI

realizadas por terceras partes.

Aplica si

6 6 50.0

2. Identificar las decisiones necesarias para

alcanzar los resultados corporativos y la

estrategia de TI y para la gestión y ejecución

de servicios de TI.

Aplica no

3. Establecer la implicación de las partes

interesadas críticas para la toma de decisiones

(quiénes rendirán cuentas, quiénes son

responsables, quiénes deben ser consultados y

quiénes informados).

Aplica si

4. Alinear la organización relativa a TI con los

modelos organizativos de arquitectura

corporativa.

Aplica si

5. Definir el enfoque, los roles y las

responsabilidades de cada función dentro de la

estructura organizativa relativa a TI.

Aplica si

6. Definir las estructuras y relaciones de

gestión para contribuir a las funciones y roles

de gestión y ejecución, en consonancia con la

dirección de gobierno establecida.

Aplica no

329

7. Establecer un Comité Estratégico de TI (o

equivalente) a nivel del Consejo de

Administración. Este comité debería

asegurarse de que el gobierno de TI, como

parte del gobierno corporativo, está

contemplado de forma adecuada, debe

aconsejar sobre la dirección estratégica y

revisar las inversiones principales, en

representación del consejo de administración

al completo.

Aplica no

8. Establecer un comité directivo de TI (o

equivalente) compuesto por la dirección

ejecutiva, de negocio y de TI para determinar

las prioridades de los programas de inversión

de TI de acuerdo con la estrategia y

prioridades de negocio de la empresa; realizar

un seguimiento del estado de los proyectos y

resolver los conflictos de recursos; y

supervisar los niveles de servicio y las mejoras

en el servicio.

Aplica no

9. Proporcionar directrices para cada

estructura de gestión (incluyendo órdenes,

objetivos, asistentes a reuniones, marco

temporal, seguimiento, supervisión y

vigilancia), así como las entradas requeridas y

las salidas esperadas en cuanto a las reuniones.

Aplica no

10. Definir reglas básicas de comunicación

mediante la identificación de las necesidades

comunicativas y la implementación de planes

basados en dichas necesidades, teniendo en

cuenta la comunicación de arriba hacia abajo,

Aplica si

330

de abajo hacia arriba y horizontal.

11. Establecer y mantener una estructura

óptima de enlace, comunicación y

coordinación entre el negocio y las funciones

de TI dentro de la empresa y con entidades no

pertenecientes a la empresa.

Aplica si

12. Verificar regularmente la adecuación y la

eficacia de la estructura organizativa. Aplica no

APO01.02 Establecer roles y responsabilidades ¿Aplica? ¿Cumple? NO SI Prom

1. Establecer, acordar y comunicar roles y

responsabilidades relativos a TI para todo el

personal de la empresa, de acuerdo con las

necesidades y los objetivos del negocio.

Delimitar claramente las responsabilidades y

la rendición de cuentas, especialmente para la

aprobación y toma de decisiones.

Aplica si

1 6 85.7

2. Tener en cuenta los requisitos desde la

empresa y la continuidad del servicio de TI a

la hora de definir los roles, incluyendo el

respaldo por parte de la plantilla y los

requisitos de formación interdisciplinar.

Aplica si

3. Contribuir al proceso de continuidad del

servicio de TI manteniendo actualizada la

información de contacto y las descripciones de

roles de la empresa.

Aplica si

4. Incluir en las descripciones de roles y

responsabilidades, la adhesión a las políticas y

los procedimientos de gestión, al código ético

Aplica no

331

y a las prácticas profesionales.

5. Implementar prácticas de supervisión

adecuadas para garantizar que los roles y las

responsabilidades se pongan en práctica de

forma correcta, para evaluar si todo el

personal tiene suficiente autoridad y recursos

para llevar a cabo sus roles y

responsabilidades y para hacer una revisión

general del rendimiento. El nivel de

supervisión debería estar en consonancia con

la sensibilidad del puesto y el nivel de

responsabilidades asignadas.

Aplica si

6. Asegurar que la rendición de cuentas queda

definida a través de los roles y

responsabilidades.

Aplica si

7. Estructurar los roles y las responsabilidades

para reducir las posibilidades de que un solo

rol pueda comprometer un proceso crítico.

Aplica si

APO01.03

Mantener los elementos catalizadores del

sistema de gestión ¿Aplica? ¿Cumple?

NO SI Prom

1. Adquirir comprensión de la visión, la

dirección y la estrategia corporativas. Aplica si

7 2 22

2. Tener en cuenta el entorno interno de la

empresa, incluyendo la cultura y la filosofía de

gestión, la tolerancia al riesgo, la seguridad,

los valores éticos, el código de conducta, la

rendición de cuentas y los requisitos de

integridad en la gestión.

Aplica no

3. Inferir e integrar los principios de TI con los Aplica no

332

principios de negocio.

4. Alinear el entorno de control de TI con el

entorno de políticas de TI, con los marcos de

trabajo generales de gobierno de TI y procesos

de TI y los marcos de trabajo existentes a nivel

corporativo en cuanto a riesgo y control.

Evaluar las buenas prácticas o los requisitos

específicos del sector (p. ej., normativa

específica del sector) e integrarlos donde

corresponda.

Aplica si

5. Alinearse con todos los estándares y

códigos de práctica de gobierno y gestión

aplicables a nivel nacional e internacional y

evaluar buenas prácticas disponibles, como el

Marco de Trabajo Integrado para Control

Interno de COSO y el Marco de Trabajo

Integrado para Gestión Empresarial del Riesgo

de COSO.

Aplica no

6. Crear un conjunto de políticas para conducir

las expectativas de control de TI en temas

clave relevantes, como calidad, seguridad,

confidencialidad, controles internos, uso de

activos de TI, ética y derechos de propiedad

intelectual.

Aplica no

7. Evaluar y actualizar las políticas, como

mínimo una vez al año, para ajustarlas a los

cambiantes entornos operativos o de negocio.

Aplica no

8. Implantar y aplicar las políticas de TI a todo

el personal relevante, de forma que estén

incorporadas y sean parte integral de las

Aplica no

333

operaciones empresariales.

9. Asegurarse de que los procedimientos estén

en funcionamiento para realizar un

seguimiento del cumplimiento con las

políticas y definir las consecuencias de la no

conformidad.

Aplica no

APO01.04

Comunicar los objetivos y la dirección de

gestión. ¿Aplica? ¿Cumple?

NO SI Prom

1. Comunicar continuamente los objetivos y la

dirección de TI. Asegurar que las

comunicaciones reciban apoyo de la dirección

ejecutiva, tanto de palabra como mediante

acciones, empleando todos los canales

disponibles.

Aplica no

3 0 0

2. Garantizar que la información comunicada

engloba una clara articulación de la misión,

los objetivos de servicio, la seguridad, los

controles internos, la calidad, el código

ético/de conducta, las políticas y

procedimientos, los roles y las

responsabilidades, etc. Comunicar la

información con el nivel de detalle adecuado

para cada respectiva audiencia dentro de la

empresa.

Aplica no

3. Proporcionar recursos suficientes y

cualificados para dar soporte al proceso

comunicativo.

Aplica no

APO01.05 Optimizar la ubicación de la función de TI. ¿Aplica? ¿Cumple? NO SI Prom

334

1. Entender el contexto de la función de TI,

incluyendo una evaluación de la estrategia

empresarial y el modelo operativo

(centralizado, federado, descentralizado,

híbrido), importancia de TI, la situación y

opciones para la provisión.

Aplica si

0 3 100

2. Identificar, evaluar y priorizar las opciones

para la ubicación en la organización, los

modelos operativos y de aprovisionamiento.

Aplica si

3. Definir la ubicación de la función de TI y

obtener aprobación. Aplica si

APO01.06

Definir la propiedad de la información (datos)

y del sistema. ¿Aplica? ¿Cumple?

NO SI Prom

1. Proveer políticas y directrices para asegurar

la adecuación y consistencia de la

clasificación de la información (datos) en toda

la empresa.

Aplica no

2 2 50

2. Definir, mantener y proporcionar

herramientas adecuadas, técnicas y directrices

para garantizar la seguridad y control efectivo

sobre la información y los sistemas en

colaboración con el propietario.

Aplica si

3. Crear y mantener un inventario de la

información (sistemas y datos) que incluya un

listado de los propietarios, custodios y

clasificaciones. Incluir los sistemas

subcontratados y aquellos cuya propiedad

debe permanecer dentro de la empresa.

Aplica no

335

4. Definir e implementar procedimientos para

asegurar la integridad y consistencia de toda la

información almacenada en formato

electrónico, tales como bases de datos,

almacenes de datos (data warehouses) y

archivos de datos.

Aplica si

APO01.07 Gestionar la mejora continua de los procesos. ¿Aplica? ¿Cumple? NO SI Prom

1. Identificar los procesos críticos de negocio

basándose en el rendimiento, cumplimiento y

los riesgos relacionados. Evaluar la capacidad

del proceso e identificar objetivos de mejora.

Analizar las diferencias en la capacidad y

control del proceso. Identificar las opciones de

mejora y rediseño de procesos. Priorizar

iniciativas para la mejora de procesos basadas

en el potencial coste-beneficio.

Aplica si

3 2 40

2. Implementar las mejoras acordadas,

funcionando como una práctica normal del

negocio y establecer objetivos y métricas de

rendimiento que permitan el seguimiento de

las mejoras del proceso.

Aplica no

3. Considerar las maneras de mejorar la

eficiencia y eficacia (p. ej., mediante

formación, documentación, estandarización y

automatización de procesos).

Aplica si

4. Aplicar prácticas de gestión de calidad para

la actualización de procesos. Aplica no

5. Retirar procesos, componentes o

catalizadores desactualizados. Aplica no

336

APO01.08

Mantener el cumplimiento con las políticas y

procedimientos. ¿Aplica? ¿Cumple?

NO SI Prom

1. Hacer un seguimiento del cumplimiento con

políticas y procedimientos. Aplica si

4 1 20

2. Analizar los incumplimientos y adoptar las

acciones apropiadas (puede incluir el cambio

de requerimientos).

Aplica no

3. Integrar rendimiento y cumplimiento dentro

de los objetivos individuales del personal. Aplica no

4. Evaluar periódicamente el desempeño de

los catalizadores del marco de referencia y

adoptar las acciones necesarias.

Aplica no

5. Analizar las tendencias en el

funcionamiento y cumplimiento y adoptar las

acciones apropiadas.

Aplica no

APO02.01 Comprender la dirección de la empresa. ¿Aplica? ¿Cumple? NO SI Prom

1. Desarrollar y mantener un entendimiento

de las estrategias y objetivos del negocio, así

como del entorno y los retos operativos

actuales.

Aplica

si 2 4 66.7

2. Desarrollar y mantener un entendimiento

del entorno externo a la empresa. Aplica

si

3. Identificar las partes interesadas más

importantes y obtener comprensión de sus

requerimientos.

Aplica

no

4. Identificar y analizar las fuentes de los Aplica si

337

cambios en la empresa y en el entorno

externo.

5. Determinar prioridades para el cambio

estratégico. Aplica

si

6. Entender la actual arquitectura de empresa

y trabajar con el proceso de arquitectura de

empresa para determinar cualquier brecha

potencial en la arquitectura.

Aplica

no

APO02.02

Evaluar el entorno, capacidades y rendimiento

actuales. ¿Aplica?

¿Cumple? NO SI Prom

1. Desarrollar un punto de referencia del

negocio, entorno de TI, capacidades y

servicios actuales respecto al que las

necesidades futuras puedan ser comparadas.

Incluir el correspondiente detalle, a alto nivel,

de la arquitectura empresarial actual

(negocios, información, datos, aplicaciones y

dominios de tecnología), procesos de negocio,

procesos de TI y sus procedimientos,

estructura organizativa de TI, provisión de

servicios externos, gobierno de TI,

habilidades y competencias de TI en toda la

empresa.

Aplica

no 3 1 25.0

2. Identificar los actuales y potenciales

riesgos y tecnologías en declive. Aplica

no

3. Identificar diferencias entre el negocio

actual y las capacidades de TI, entre servicios

y estándares y mejores prácticas de referencia,

entre empresas competidoras y sus

capacidades de TI y entre un análisis

Aplica

no

338

comparativo de las mejoras prácticas y la

provisión de servicios emergentes de TI.

4. Identificar los problemas, fortalezas,

oportunidades y amenazas en el entorno

actual, las capacidades y servicios para

entender el desempeño actual. Identificar las

áreas a mejorar en términos de la contribución

de TI a los objetivos del negocio.

Aplica

si

APO02.03 Definir el objetivo de las capacidades de TI. ¿Aplica? ¿Cumple? NO SI Prom

1. Considerar la aprobación de tecnologías

emergentes e ideas innovadoras. Aplica

no 5 1 16.7

2. Identificar las amenazas por el rechazo a

las actuales y nuevas tecnologías adquiridas. Aplica

si

3. Definir los objetivos/metas de TI a alto

nivel y cómo contribuirán a los objetivos de

negocio empresariales.

Aplica

no

4. Definir el proceso de negocio requerido y

deseado, las capacidades y los servicios de TI;

describir los cambios a alto nivel en la

arquitectura empresarial (negocio,

información, datos, aplicaciones y dominios

tecnológicos), el negocio, los procesos y

procedimientos de TI, la estructura

organizativa de TI, proveedores de servicios

tecnológicos, gobierno de TI y las habilidades

y competencias.

Aplica

no

5. Alinear y acordar los cambios en la

arquitectura de empresa con el arquitecto

corporativo.

Aplica

no

339

6. Demostrar trazabilidad de la estrategia del

negocio y sus necesidades. Aplica

no

APO02.04 Realizar un análisis de diferencias. Aplica ¿Cumple? NO SI Prom

1. Identificar todas las diferencias y cambios

necesarios para realizar en el entorno deseado. Aplica

no 4 0 0.0

2. Considerar las implicaciones a alto nivel de

todas las diferencias. Considerar el valor de

los posibles cambios en el negocio y

capacidades de TI, servicios de TI y

arquitectura empresarial y las consecuencias

de no realizarlos.

Aplica

no

3. Evaluar el impacto de posibles cambios en

el negocio y en los modelos operativos de TI,

la capacidad de investigación y desarrollo de

tecnología y los programas de inversión de

TI.

Aplica

no

4. Mejorar la definición del entorno deseado y

preparar una declaración de valor con los

beneficios a percibir de ese entorno.

Aplica

no

APO02.05 Definir el plan estratégico y la hoja de ruta. ¿Aplica? ¿Cumple? NO SI Prom

1. Definir las iniciativas necesarias para cerrar

las diferencias y migrar del entorno actual al

deseado, incluyendo el presupuesto de

inversión/operativo, fuentes de financiación y

estrategia de provisión.

Aplica

si 4 3 42.9

2. Identificar y abordar adecuadamente los

riesgos, costes e implicaciones de los cambios

organizativos, evolución tecnológica,

requisitos normativos, reingeniería de los

Aplica

si

340

procesos de negocio, dotación de personal,

oportunidades de internalización (insourcing)

y externalización (outsourcing), etc., en el

proceso de planificación.

3. Determinar dependencias, solapamientos,

sinergias e impactos entre las iniciativas y

priorizar las iniciativas.

Aplica

no

4. Identificar los requerimientos de recursos,

planificación y presupuestos de

inversión/operacional de cada iniciativa.

Aplica

si

5. Crear una hoja de ruta indicando la

planificación y las interdependencias de las

iniciativas.

Aplica

no

6. Traducir los objetivos en medidas de

resultado representadas por métricas (qué) y

objetivos (cuánto) que puedan ser

relacionados con los beneficios empresariales.

Aplica

no

7. Obtener formalmente soporte de las partes

interesadas y obtener aprobación del plan. Aplica

no

APO02.06 Comunicar la estrategia y la dirección de TI. ¿Aplica? ¿Cumple? NO SI Prom

1. Desarrollar y mantener una red de

aprobación, apoyo e impulso de la estrategia

de TI.

Aplica

si 1 3 75.0

2. Desarrollar un plan de comunicación que

cubra los mensajes necesarios, audiencias

objetivo, mecanismos/canales de

comunicación y horarios.

Aplica

si

3. Preparar un paquete de comunicaciones que

entregue el plan de manera eficaz utilizando

Aplica si

341

los medios de comunicación y tecnologías

disponibles.

4. Obtener realimentación y actualizar el plan

de comunicaciones y de entrega según sea

necesario.

Aplica

no

APO03-BP1

Desarrollar la visión de la arquitectura de

empresa. ¿Aplica? ¿Cumple? NO SI Prom

1. Identificar a las partes interesadas clave de la

empresa y sus objetivos/preocupaciones y

definir los requisitos clave de la empresa a ser

considerados, así como la visión de la

arquitectura a ser desarrollada para satisfacer

los distintos requisitos de las partes interesadas.

Aplica no 11 0 0.0

2. Identificar los objetivos y los impulsores

estratégicos de la empresa y definir las

limitaciones con las que habrá que tratar,

incluyendo las limitaciones en toda la empresa

y las específicas del proyecto (duración,

planificación, recursos, etc.).

Aplica no

3. Alinear los objetivos de la arquitectura con

las prioridades estratégicas del plan

empresarial.

Aplica no

4. Entender los deseos y las capacidades del

negocio y, a continuación, identificar las

opciones para realizar dichas capacidades.

Aplica no

5. Evaluar la disposición de la empresa para el

cambio. Aplica no

342

6. Definir qué está dentro y qué está fuera del

alcance de la arquitectura de partida y los

esfuerzos de arquitectura objetivo, entendiendo

que el punto de partida y el objetivo no

necesitan ser descritos con el mismo nivel de

detalle.

Aplica no

7. Confirmar y elaborar los principios de la

arquitectura, incluyéndose los principios de la

empresa. Asegurarse de que todas las

definiciones existentes están vigentes y aclarar

cualquier área de ambigüedad.

Aplica no

8. Entender los objetivos estratégicos actuales

de la empresa y trabajar conjuntamente con el

procesos de planificación estratégica para

asegurarse que las oportunidades de

arquitectura de TI empresarial se apoyan en el

desarrollo del plan estratégico.

Aplica no

9. Crear la visión de la arquitectura atendiendo

a las preocupaciones de las partes interesadas,

en los requisitos de capacidad del negocio, en

el alcance, en las limitaciones y principios:

visión de alto nivel de las arquitecturas de

partida y objetivo.

Aplica no

10. Definir las proposiciones de valor, los

objetivos y métricas de la arquitectura objetivo. Aplica no

11. Identificar los riesgos empresariales

asociados con el cambio de la nueva visión de

la arquitectura, evaluar el nivel de riesgo inicial

(por ejemplo, crítico, marginal o despreciable)

y desarrollar una estrategia de mitigación para

Aplica no

343

cada riesgo importante.

12. Desarrollar el caso de negocio del concepto

de arquitectura empresarial, bosquejar los

planes y el trabajo de arquitectura y asegurar

que están aprobados para iniciar el proyecto

que esté alineado e integrado con la estrategia

empresarial.

Aplica no

APO03-BP2 Definir la arquitectura de referencia. ¿Aplica? ¿Cumple? NO SI Prom

1. Mantener un repositorio de la arquitectura

que contenga los estándares, los componentes

reutilizables, el modelado, las relaciones, las

dependencias y las vistas para permitir una

uniformidad en la organización y el

mantenimiento.

Aplica SI 8 1 11.1

2. Seleccionar los puntos de vista de referencia

del repositorio de arquitectura que permitirán al

arquitecto demostrar cómo están siendo

consideradas las preocupaciones de las partes

interesadas en la arquitectura.

Aplica no

3. Por cada punto de vista, seleccionar los

modelos necesarios para soportar cada uno de

ellos, utilizando las herramientas o métodos

seleccionados y los niveles apropiados de

descomposición.

Aplica no

4. Desarrollar descripciones de dominio de

arquitectura de partida, utilizando el alcance y

nivel de detalle necesarios para apoyar la

arquitectura objetivo y, hasta el punto que sea

posible, identificando los bloques relevantes

Aplica no

344

del repositorio de la arquitectura.

5. Mantener un modelo de arquitectura de

procesos como parte de las descripciones de

dominio de referencia y objetivo. Estandarizar

las descripciones y la documentación de los

procesos. Definir las funciones y

responsabilidades de los que deciden el

proceso, el propietario del proceso, los usuarios

del proceso, el equipo del proceso y cualquier

otra parte interesada que debieran estar

involucrados.

Aplica no

6. Mantener un modelo de arquitectura de

información como parte de las descripciones de

dominio de referencia y objetivo, que sea

consistente con la estrategia de la empresa y

que permita un uso óptimo de la información

para la toma de decisiones. Mantener un

diccionario de datos de la empresa que

promueva una interpretación común y un

esquema de clasificación que incluya detalles

sobre el propietario de los datos, definición de

los niveles de seguridad apropiados y los

requisitos de retención y destrucción de los

datos.

Aplica no

7. Verificar la consistencia interna y precisión

de los modelos de la arquitectura y realizar un

análisis de diferencias entre el punto de partida

y el objetivo. Priorizar las desviaciones y

definir los nuevos componentes o

modificaciones que se deben desarrollar en la

arquitectura objetivo. Resolver los impactos

Aplica no

345

potenciales, tales como las incompatibilidades,

inconsistencias o conflictos dentro de la

arquitectura prevista.

8. Realizar una revisión formal con las partes

interesadas para comprobar que la arquitectura

propuesta frente a la motivación original del

proyecto de arquitectura y la declaración de

arquitectura funcionan.

Aplica no

9. Finalizar las arquitectura de los dominios de

negocio, información, datos, aplicaciones y

tecnología y crear un documento de definición

de la arquitectura.

Aplica no

APO03-BP3 Seleccionar las oportunidades y las soluciones. ¿Aplica? ¿Cumple? NO SI Prom

1. Determinar y confirmar los atributos clave

del cambio, incluyendo la cultura empresarial y

cómo ésta impactará en la implementación de

la arquitectura de empresa, así como en las

capacidades de transición empresarial.

Aplica no 10 0 0.0

2. Identificar los motivadores de la empresa

que podrían limitar la secuencia de

implementación, incluyendo una revisión de los

planes estratégicos y de negocio de la empresa

y de las líneas de negocio y considerando la

madurez de la arquitectura de empresa actual.

Aplica no

3. Revisar y consolidar los resultados del

análisis de diferencias entre las arquitecturas de

partida y objetivo y evaluar sus implicaciones

respecto a las potenciales oportunidades y

soluciones, interdependencias y alineación con

Aplica no

346

los vigentes programas habilitados para TI.

4. Evaluar las necesidades, las carencias, las

soluciones y los factores para identificar un

conjunto mínimo de requisitos funcionales cuya

integración en el plan de trabajo daría lugar a

una implementación más eficiente y eficaz de

la arquitectura objetivo.

Aplica no

5. Conciliar los requisitos ya consolidados con

las posibles soluciones. Aplica no

6. Afinar las dependencias iniciales,

asegurándose que todas las restricciones sobre

los planes de implementación y migración

están identificadas y se han consolidado en el

informe de análisis de dependencias.

Aplica no

7. Confirmar el grado de preparación de la

empresa y el riesgo asociado a la

transformación empresarial.

Aplica no

8. Formular una implementación de alto nivel y

una estrategia de migración que servirán de

guía para la implementación de la arquitectura

objetivo y para la estructura de la arquitectura

de transición en línea con los objetivos

estratégicos y los plazos de la empresa.

Aplica no

9. Identificar y agrupar los principales paquetes

de trabajo en un conjunto de programas y

proyectos coherentes, respetando el enfoque y

la dirección de la estrategia empresarial en su

implementación.

Aplica no

347

10. Desarrollar una serie de arquitecturas de

transición cuando sea necesario un enfoque

incremental por el alcance del cambio

necesario para alcanzar la arquitectura de

información objetivo.

Aplica no

APO03-BP4 Definir la implantación de la arquitectura. ¿Aplica? ¿Cumple? NO SI Prom

1. Establecer lo que el plan de implementación

y migración deberían incluir como parte del

programa y plan de proyectos para asegurarse

que están alineados con los requisitos de los

decisores aplicables.

Aplica no 3 0 0.0

2. Confirmar las fases y los progresos de la

arquitectura de transición y actualizarlos en el

documento de definición de la arquitectura.

Aplica no

3. Definir los requisitos de gobierno de

implementación de la arquitectura. Aplica no

APO03-BP5

Proveer los servicios de arquitectura

empresarial. ¿Aplica? ¿Cumple? NO SI Prom

1. Confirmar el alcance y las prioridades y

proporcionar orientación para el desarrollo y

despliegue de soluciones.

No

aplica

4 0 0.0

2. Gestionar la cartera de servicios de

arquitectura de la empresa para asegurar el

alineamiento con los objetivos estratégicos y el

desarrollo de soluciones.

Aplica no

3. Gestionar los requisitos de la arquitectura

empresarial y dar soporte con los principios de

dicha arquitectura, modelos y componentes

básicos.

Aplica no

348

4. Identificar y alinear las prioridades de la

arquitectura empresarial a los motivadores del

valor. Definir y recoger los valores de las

medidas y las métricas utilizadas y comunicar

el valor de la arquitectura empresarial.

Aplica no

5. Establecer un foro tecnológico para facilitar

guías de uso de la arquitectura, soporte en los

proyectos y guía en la selección de la

tecnología. Medir el cumplimiento con estos

estándares y guías de referencia, incluyendo el

cumplimiento con requisitos externos y su

importancia para el negocio.

Aplica no

APO04-BP1 Crear un entorno favorable para la innovación. ¿Aplica? ¿Cumple? NO SI Prom

1. Crear un plan de innovación que incluya el

apetito por el riesgo, el presupuesto previsto

para invertir en la innovación y los objetivos de

la innovación.

Aplica no 4 1 20.0

2. Proveer de una infraestructura que pueda

permitir innovar, tales como herramientas de

colaboración para mejorar el trabajo entre

diferentes ubicaciones geográficas y divisiones

de la empresa.

Aplica si

3. Crear un entorno que fomente la innovación

manteniendo iniciativas de recursos humanos

relevantes, tales como el reconocimiento de la

innovación y programas de reconocimiento,

una rotación apropiada en los puestos de

trabajo y tiempo prudencial para la

experimentación.

Aplica no

349

4. Mantener un programa que permita a los

empleados presentar ideas innovadoras y crear

una estructura adecuada de toma de decisiones

para evaluar y aplicar estas ideas.

Aplica no

5. Animar a innovar a los clientes, proveedores

y socios comerciales. Aplica no

APO04-BP2

Mantener un entendimiento del entorno de la

empresa. ¿Aplica? ¿Cumple? NO SI Prom

1. Mantener una comprensión de los motores

del negocio y de la industria, de la estrategia

corporativa, operaciones corporativas y otras

incidencias de modo que los potenciales

valores añadidos tecnológicos o innovaciones

TI puedan ser identificadas.

Aplica no 2 1 33.3

2. Realizar reuniones periódicas con las

unidades de negocio, divisiones y/o otras

entidades interesadas para entender los

problemas actuales del negocio, cuellos de

botella de los procesos u otras limitaciones

donde las tecnologías emergentes o la

innovación TI puede crear oportunidades.

Aplica si

3. Entender los parámetros de inversiones

corporativas para la innovación y las nuevas

tecnologías, de modo que se desarrollen las

estrategias adecuadas.

Aplica no

APO04-BP3 Supervisar y explorar el entorno tecnológico. ¿Aplica? ¿Cumple? NO SI Prom

1. Comprender el interés de la empresa y su

potencial para adoptar nuevas innovaciones

tecnológicas canalizando los esfuerzos de

concienciación en las innovaciones

Aplica si 3 1 25.0

350

tecnológicas más oportunas.

2. Realizar estudios y analizar el entorno

exterior, incluyendo sitios web apropiados,

diarios y conferencias para identificar

tecnologías emergentes.

Aplica no

3. Consultar con terceras personas expertas

cuando se necesite confirmar los resultados de

la investigación o como fuente de información

en tecnologías emergentes.

Aplica no

4. Recopilar las ideas innovadoras del personal

de TI y analizarlas para su posible

implementación.

Aplica no

APO04-BP4

Evaluar el potencial de las tecnologías

emergentes y las ideas innovadoras. ¿Aplica? ¿Cumple? NO SI Prom

1. Evaluar las tecnologías identificadas,

considerando aspectos tales como tiempo para

alcanzar la madurez, riesgo inherente de la

nueva tecnología (incluyendo posibles

implicaciones legales), ajuste con la

arquitectura empresarial y potencial para

proporcionar valor añadido.

Aplica no 4 0 0.0

2. Identificar cualquier problema que pueda

necesitar ser resuelto o probado a través de una

iniciativa de prueba de concepto.

Aplica no

3. Alcance de la iniciativa de prueba de

concepto, incluyendo resultados deseados,

presupuesto necesario, plazos de tiempo y

responsabilidades.

Aplica no

351

4. Obtener autorización para realizar la prueba

de concepto. Aplica no

5. Realizar pruebas de concepto para evaluar

las tecnologías emergentes u otras ideas

innovadoras, identificar cualquier problema y

determinar si más implementaciones deberían

ser tenidas en cuenta, basándose en la

viabilidad y el potencial retorno de la inversión

(ROI).

No

aplica

APO04-BP5 Recomendar iniciativas apropiadas adicionales. ¿Aplica? ¿Cumple? NO SI Prom

1. Documentar los resultados de las pruebas de

concepto, incluyendo guía y recomendaciones

para programas de innovación y tendencias.

Aplica no 4 0 0.0

2. Comunicar las oportunidades de innovación

viables en la estrategia TI y en los procesos de

arquitectura empresarial.

Aplica no

3. Realizar un seguimiento de las pruebas de

concepto para medir el grado en que las

mismas han influenciado en las inversiones

reales.

Aplica no

4. Analizar y comunicar las razones por las que

se ha rechazado una prueba de concepto. Aplica no

APO04-BP6

Supervisar la implementación y el uso de la

innovación. ¿Aplica? ¿Cumple? NO SI Prom

1. Valorar la implementación de nuevas

tecnologías o innovaciones TI adoptadas como

parte de la estrategia TI y desarrollos de la

arquitectura empresarial y su realización

durante programas de gestión de iniciativas.

Aplica no 4 0 0.0

352

2. Capturar lecciones aprendidas y

oportunidades de mejora. Aplica no

3. Ajustar el plan de innovación, si fuese

necesario. Aplica no

4. Identificar y evaluar el posible valor

obtenido como fruto del uso de la innovación. Aplica no

APO05-BP1 Establecer la mezcla del objetivo de inversión. ¿Aplica? ¿Cumple? NO SI Prom

1. Validar que las inversiones TI y los servicios

TI actuales están alineados con la visión y los

principios corporativos, metas y objetivos

estratégicos, visión de la arquitectura

empresarial y prioridades.

Aplica no 5 0 0.0

2. Conseguir un entendimiento común entre TI

y otras funciones de negocio sobre las

potenciales oportunidades de TI para conducir

y sustentar la estrategia corporativa.

Aplica no

3. Crear una mezcla de inversión que logre el

balance adecuado entre distintas dimensiones,

incluyendo el equilibrio justo de retornos a

corto y largo plazo, beneficios financieros y no

financieros e inversiones de alto y bajo riesgo.

Aplica no

4. Identificar las categorías generales de

sistemas de información, aplicaciones, datos,

servicios de TI, infraestructura, activos de TI,

recursos, habilidades, prácticas, controles y

relaciones necesarias para sustentar la

estrategia corporativa.

Aplica no

353

5. Acordar una estrategia TI y unas metas,

considerando las interrelaciones existentes

entre la estrategia corporativa y los servicios

TI, activos y otros recursos. Identificar y

facilitar sinergias que puedan ser alcanzadas.

Aplica no

APO05-BP2

Determinar la disponibilidad y las fuentes de

fondos. ¿Aplica? ¿Cumple? NO SI Prom

1. Entender la disponibilidad y el compromiso

de los fondos actuales, el gasto actual aprobado

y la cantidad real gastada hasta la fecha.

No

aplica

0 0

2. Identificar las opciones para obtener

financiación adicional para las inversiones TI

internamente o de fuentes externas.

No

aplica

3. Determinar las implicaciones de la fuente de

financiación en las expectativas de retorno de

la inversión.

Aplica

APO05-BP3

Evaluar y seleccionar los programas a

financiar. ¿Aplica? ¿Cumple? NO SI Prom

1. Reconocer las oportunidades de inversión y

clasificarlas en línea con las categorías del

portafolio de inversiones. Especificar los

resultados empresariales esperados, todas las

iniciativas necesarias para alcanzar los

resultados esperados, costes, dependencias y

riesgos y como todo debe ser medido.

No

aplica

1 1 50.0

2. Realizar evaluaciones detalladas de todos los

caso de negocio de los programas, evaluando el

alineamiento estratégico, beneficios

corporativos, riesgo y disponibilidad de

Aplica no

354

recursos.

3. Evaluar el impacto en el portafolio general

de inversiones por añadir los programas

candidatos, incluyendo cualquier cambio que

pueda ser requerido por otros programas.

Aplica si

4. Decidir qué programas candidatos deberían

ser trasladados al portafolio de inversiones

activas. Determinar si los programas

rechazados deberían ser conservados para ser

considerados en el futuro, o provistos con

algún tipo de inversión para determinar si el

caso de negocio puede ser mejorado o

descartado.

No

aplica

5. Determinar los hitos necesarios para el ciclo

de vida económico de cada programa

seleccionado. Asignar y reservar totalmente los

fondos para cada hito. Mover el programa al

portafolio de inversiones activas.

No

aplica

6. Establecer procedimientos para comunicar el

coste, beneficios y aspectos relativos al riesgo

de esos portafolios a los procesos de

priorización de presupuesto, gestión del coste y

gestión del beneficio.

No

aplica

APO05-O4

Existe una vista precisa y comprensiva del

rendimiento de las inversiones del portafolio. ¿Aplica? ¿Cumple? NO SI Prom

1. Revisar regularmente el portafolio para

identificar y explotar sinergias, eliminar

programas duplicados e identificar y mitigar el

riesgo.

Aplica no 3 0 0.0

355

2. Cuando sucedan cambios, volver a evaluar y

a priorizar el portafolio para asegurar que está

alienado con la estrategia del negocio y que la

mezcla de inversión objetivo se mantiene, de

modo que el portafolio esté optimizando el

valor global. Esto puede requerir que los

programas cambien, se aplacen, se retiren o

bien que nuevos programas se inicien.

No

aplica

3. Ajustar los objetivos, previsiones,

presupuestos y, si fuese necesario, el grado de

monitorización empresariales para reflejar los

gastos en que se incurriría y los beneficios de

la empresa que se obtendrían gracias a los

programas del portafolio de inversiones

activas. Incorporar los gastos del programa en

el mecanismo de prorrateo de costes.

No

aplica

4. Proporcionar una vista precisa a las partes

interesadas sobre el rendimiento del portafolio

de inversiones.

No

aplica

5. Aportar informes ejecutivos para la revisión

por parte de la alta dirección de los progresos

de la empresa hacia las metas identificadas,

estableciendo qué debe seguir siendo gastado y

conseguido sobre qué franjas temporales.

No

aplica

6. Incluir en la supervisión periódica del

rendimiento información sobre en qué medida

los objetivos planificados han sido alcanzados,

el riesgo mitigado, las capacidades creadas, los

entregables obtenidos y las metas de

rendimiento, conseguidas.

Aplica no

356

7. Identificar desviaciones para:

• Control presupuestario entre el real y el

presupuesto

• Gestión del beneficio de:

– Real versus objetivos de inversión en

soluciones, probablemente expresados en

términos de ROI, NPV o tasa interna de retorno

(IRR)

– Tendencia actual del coste del portafolio de

servicios para la mejora de la productividad de

la entrega del servicio

No

aplica

8. Desarrollar métricas para medir la

contribución de TI a la empresa, y establecer

objetivos de rendimiento adecuados que

reflejen las metas de capacidad corporativas y

de TI. Utilizar asistencia de expertos externos y

de datos de análisis comparativos para

desarrollar métricas.

Aplica no

APO05-O5

Los cambios en el programa de inversiones se

reflejan en los portafolios relevantes de

servicios, activos y recursos de TI.

¿Aplica? ¿Cumple? NO SI Prom

1. Crear y mantener portafolios de programas

de inversiones TI, servicios TI y activos TI,

que constituyan la base del presupuesto actual

de TI y soporten los planes estratégicos y

tácticos de TI.

No

aplica

0 0

2. Trabajar con los responsables de entrega del

servicio para mantener los portafolios de

servicio y con los responsables de operaciones

y arquitectos para mantener el portafolio de

activos. Apoyar los planes tácticos y

No

aplica

357

estratégicos de TI.

3. Eliminar los programas del portafolio de

inversiones activas cuando los beneficios

corporativos deseados han sido alcanzados o

cuando está claro que los beneficios no serán

alcanzados dentro del criterio de valor

establecido para el programa.

No

aplica

APO05-O6

Los beneficios han sido generados debido a los

beneficios de la

monitorización.


1. Utilizar las métricas acordadas y realizar

seguimiento sobre cómo los beneficios son

obtenidos, cómo evolucionan a lo largo del

ciclo de vida de programas y proyectos, cómo

son entregados desde los servicios TI y cómo

resultan al someterlos a un análisis

comparativo interno y de la industria.

Comunicar los resultados a las partes

interesadas.

Aplica si 1 2 66.7

2. Implementar acciones correctivas cuando los

beneficios alcanzados se desvían

significativamente de los esperados. Actualizar

los casos de negocio para las nuevas iniciativas

e implementar procesos de negocio y mejoras

del servicio según se requiera.

Aplica si

3. Considerar obtener orientación de expertos

externos, líderes de la industria y datos de

análisis comparativos para probar y mejorar las

métricas y los objetivos.

Aplica no

358

APO07-BP1

Mantener la dotación de personal suficiente y

adecuada. ¿Aplica? ¿Cumple? NO SI Prom

1. Evaluar las necesidades de personal de

forma regular o ante cambios importantes para

asegurar que:

• La función de TI cuenta con recursos

suficientes para apoyar de manera adecuada y

apropiada las metas y objetivos empresariales.

• La empresa cuenta con recursos suficientes

para apoyar de manera adecuada y apropiada

los procesos de negocio y los controles e

iniciativas TI.

Aplica si

2 3 60.0

2. Mantener los procesos de contratación y de

retención del personal de TI y del negocio en

línea con las políticas y procedimientos de

personal globales de la empresa.

Aplica Si

3. Incluir controles de antecedentes en el

proceso de contratación de TI para empleados,

contratistas y proveedores. El alcance y la

frecuencia de estos controles depende de la

sensibilidad y/o criticidad de la función.

Aplica no

4. Establecer mecanismos flexibles de

dotación de recursos para apoyar a las

necesidades cambiantes del negocio, tales

como el uso de transferencias, contratistas

externos y acuerdos de servicio con terceras

partes.

Aplica no

5. Asegurarse de que el entrenamiento

cruzado se lleva a cabo y que hay respaldo

Aplica si

359

para el personal clave para reducir la

dependencia de una sola persona.

APO07-BP2 Identificar personal clave de TI. ¿Aplica? ¿Cumple? NO SI Prom

1. Minimizar la dependencia en una sola

persona en la realización de una función

crítica de trabajo mediante la captura de

conocimiento (documentación), el

intercambio de conocimientos, la

planificación de la sucesión, el respaldo

(backup) del personal, el entrenamiento

cruzado e iniciativas de rotación de puestos.

Aplica si

1 1 50.0

2. Como medida de seguridad, proporcionar

directrices sobre un tiempo mínimo de

vacaciones anuales que deben tomar los

individuos clave.

No

aplica

3. Tomar acciones expeditivas con respecto a

cambios laborales, especialmente despidos.

No

aplica

4. Probar regularmente los planes de respaldo

(backup) del personal. Aplica no

APO07-BP3

Mantener las habilidades y competencias del

personal. ¿Aplica? ¿Cumple? NO SI Prom

1. Definir las habilidades y competencias

necesarias y disponibles actualmente tanto de

recursos internos como externos para lograr

los objetivos de empresa, de TI y de procesos.

Aplica no

6 1 14.3

2. Proporcionar una planificación formal de la

carrera y desarrollo profesional para fomentar

el desarrollo de competencias, oportunidades

de progreso personal y una menor

Aplica no

360

dependencia de personas clave.

3. Proporcionar acceso a repositorios de

conocimiento para apoyar el desarrollo de

habilidades y competencias.

Aplica si

4. Identificar las diferencias entre las

habilidades necesarias y las disponibles y

desarrollar planes de acción para hacerles

frente de manera individual y colectiva, tales

como formación (técnica y en habilidades de

comportamiento), contratación, redistribución

y cambios en las estrategias de contratación.

Aplica no

5. Desarrollar y ejecutar programas de

formación basados en los requisitos

organizativos y de procesos, incluidos los

requisitos sobre conocimiento empresarial,

control interno, conducta ética y seguridad.

Aplica no

6. Llevar a cabo revisiones periódicas para

evaluar la evolución de las habilidades y

competencias de los recursos internos y

externos. Revisar la planificación de la

sucesión.

Aplica no

7. Revisar los materiales y programas de

formación de manera regular para asegurarse

su adecuación a los requisitos empresariales

cambiantes y su impacto en los

conocimientos, aptitudes y habilidades

necesarias

Aplica no

APO07-BP4

Evaluar el desempeño laboral de los

empleados. ¿Aplica? ¿Cumple? NO SI Prom

361

1. Considerar los objetivos funcionales/de

empresa como el contexto para establecer las

metas individuales.

Aplica si

5 2 28.6

2. Establecer los objetivos individuales

alineados con los objetivos de los procesos

relevantes, de modo que exista una clara

contribución a los objetivos de TI y

empresariales. Basar las metas en objetivos

SMART (específicos, medibles, realizables,

pertinentes y de duración determinada) que

reflejen las competencias básicas, los valores

empresariales y las habilidades necesarias

para la(s) función(es).

Aplica no

3. Recopilar los resultados de la evaluación de

desempeño de 360 grados. Aplica no

4. Implementar y comunicar un proceso

disciplinario. Aplica si

5. Proporcionar instrucciones específicas para

el uso y almacenamiento de información

personal en el proceso de evaluación, de

conformidad con la legislación laboral y sobre

datos personales aplicables

Aplica no

6. Proporcionar retroalimentación oportuna

sobre el desempeño frente a las metas del

individuo.

Aplica no

7. Implementar un proceso de

remuneración/reconocimiento que premie el

compromiso adecuado, el desarrollo de

competencias y el logro exitoso de los

objetivos de desempeño. Asegurar que el

No

aplica

362

proceso se aplica de forma coherente y en

consonancia con las políticas de la

organización.

8. Desarrollar planes de mejora del

desempeño basados en los resultados del

proceso de evaluación y los requisitos de

capacitación y desarrollo de competencias

identificados.

Aplica no

APO07-BP5

Planificar y realizar un seguimiento del uso de

recursos humanos de TI y del negocio. ¿Aplica? ¿Cumple? NO SI Prom

1. Crear y mantener un inventario de recursos

humanos de negocio y TI. Aplica no

1 2 66.7

2. Entender la demanda actual y futura de

recursos humanos para apoyar el logro de los

objetivos de TI y ofrecer servicios y

soluciones basados en la cartera de las

iniciativas actuales relacionadas con las TI, la

cartera de inversiones futuras y las

necesidades operativas del día a día.

Aplica si

3. Identificar las carencias y proporcionar

datos de entrada a planes de

aprovisionamiento, así como a los procesos de

contratación de la empresa y de TI. Crear y

revisar el plan de personal, haciendo

seguimiento del uso real.

No

aplica

4. Mantener información adecuada sobre el

tiempo dedicado a diferentes tareas, trabajos,

servicios o proyectos.

Aplica si

APO07-BP6 Gestionar el personal contratado. ¿Aplica? ¿Cumple? NO SI Prom

363

1. Implementar políticas y procedimientos que

describan cuándo, cómo y qué tipo de trabajo

puede ser realizado o incrementado por

consultores y/o contratistas, de acuerdo con la

política de contratación de TI de la

organización y el marco de control de TI.

Aplica si

2 2 50.0

2. Obtener un acuerdo formal por parte de los

contratistas en el inicio del contrato en cuanto

a que están obligados a cumplir con el marco

de control de TI de la empresa, tal como

políticas de control de seguridad, control de

acceso físico y lógico, uso de las

instalaciones, requisitos de confidencialidad

de la información y los acuerdos de

confidencialidad.

Aplica si

3. Advertir a los contratistas de que la

gerencia se reserva el derecho de supervisar e

inspeccionar todo uso de los recursos de TI,

incluyendo correo electrónico,

comunicaciones de voz y todos los programas

y archivos de datos.

Aplica No

4. Proporcionar a los contratistas una

definición clara de sus funciones y

responsabilidades como parte de sus

contratos, incluidos requisitos explícitos para

documentar su trabajo en base a normas y

formatos previamente acordados.

Aplica No

5. Revisar el trabajo de los contratistas y basar

la aprobación de los pagos en los resultados.

No

aplica

6. Definir todo el trabajo a realizar por

terceras partes en contratos formales y sin No

364

ambigüedades. aplica


asegurarse de que el personal contratado ha

firmado y aceptado todos los acuerdos

necesarios.

No

aplica


asegurarse de que las funciones de los

contratistas y sus derechos de acceso son

adecuados y en línea con los acuerdos.

No

aplica

APO08-BP1 Entender las expectativas del negocio. ¿Aplica? ¿Cumple? NO SI Prom

1. Identificar a las partes interesadas del negocio, sus

intereses y sus áreas de responsabilidad. Aplica si

6 1 14.3

2. Revisar la orientación de la empresa, asuntos,

objetivos estratégicos actuales y alineamiento con la

arquitectura empresarial.

Aplica no

3. Mantener una atención sobre los procesos de

negocio y actividades asociadas y entender los patrones

de demanda relacionados con el volumen y uso de

servicios.

Aplica no

4. Esclarecer las expectativas del negocio para los

servicios y soluciones basados en TI y asegurar que los

requisitos son definidos con criterios y métricas

aceptados por el negocio.

Aplica no

5. Confirmar el acuerdo sobre las expectativas del

negocio, los criterios de aceptación y las métricas para

las partes relevantes de la infraestructura TI por todas

las partes interesadas.

Aplica no

365

6. Gestionar las expectativas asegurando que las

unidades de negocio entienden las prioridades,

dependencias, restricciones financieras y la necesidad

de planificar peticiones.

Aplica no

7. Entender el entorno de negocio actual, limitaciones o

flujos de procesos, expansión o contracción geográfica

y motivaciones de la industria/regulación.

Aplica no

APO08-BP2

Identificar oportunidades, riesgos y limitaciones de TI

para mejorar el negocio. ¿Aplica? ¿Cumple? NO SI Prom

1. Entender las tendencias tecnológicas y las nuevas

tecnologías y cómo pueden aplicarse de modo

innovador para mejorar el rendimiento de los procesos

de negocio.

Aplica si

4 1 20.0

2. Tomar un papel proactivo en identificar y comunicar

a las partes interesadas clave las oportunidades, riesgos

y limitaciones. Esto incluye tecnologías, servicios y

modelos de negocios tanto actuales como emergentes.

Aplica no

3. Colaborar en acordar los siguientes pasos para las

principales nuevas iniciativas en colaboración con la

gestión de la cartera de servicios, incluyendo el

desarrollo de casos de negocio.

Aplica no

4. Asegurar que el negocio y la TI entienden y aprecian

los objetivos estratégicos y la visión de la arquitectura

empresarial.

Aplica no

5. Coordinar durante la planificación de nuevas

iniciativas TI para asegurar la integración y el

alineamiento con la arquitectura empresarial.

Aplica no

APO08-BP3 Gestionar las relaciones con el negocio. ¿Aplica? ¿Cumple? NO SI Prom

366

1. Asignar un responsable de la relación como punto

único de contacto por cada unidad de negocio

significativa. Asegurar que se ha identificado una

entendimiento del negocio, suficiente concienciación

tecnológica y un nivel apropiado de autoridad.

Aplica no

3 2 40.0

2. Gestionar la relación de un modo formal y

transparente que asegure un enfoque en conseguir,

como objetivo común y compartido, resultados

exitosos apoyando los objetivos estratégicos dentro de

las limitaciones del presupuesto y de la tolerancia de

riesgos.

Aplica no

3. Definir y comunicar un proceso de reclamaciones y

escalado de las mismas para resolver cualquier

incidencia en la relación.

Aplica no

4. Planificar interacciones específicas y calendarios

basados en objetivos acordados mutuamente y en un

lenguaje común (reuniones de revisión del servicio y

del rendimiento, revisión de nuevas estrategias o

planes, etc.).

Aplica si

5. Asegurar que las decisiones claves son acordadas y

aprobadas por las partes interesadas responsables y

relevantes.

Aplica si

APO08-BP4 Coordinar y comunicar. ¿Aplica? ¿Cumple? NO SI Prom

1. Coordinar y comunicar cambios y actividades de

transición tales como proyectos, planes de cambio,

planificaciones, políticas de lanzamiento, errores

conocidos y concienciación sobre formación.

Aplica si

1 3 75.0

2. Coordinar y comunicar actividades operativas, roles

y responsabilidades, incluyendo la definición de los

tipos de petición, escalado jerárquico, periodos de

Aplica si

367

interrupción significativos (planeados o no) y

contenido y frecuencia de los informes del servicio.

3. Tomar consideración de la reacción del negocio ante

eventos que puedan influenciar en la relación con el

mismo. Proporcionar soporte directo si fuera necesario.

Aplica no

4. Mantener un plan de comunicación extremo a

extremo que defina el contenido, frecuencia y

destinatarios de la información de la entrega del

servicio, incluyendo el estado del valor entregado y los

riesgos identificados.

Aplica si

APO08-BP5

Proveer datos de entrada para la mejora continua de los

servicios. ¿Aplica? ¿Cumple? NO SI Prom

1. Llevar a cabo análisis de satisfacción de clientes y

proveedores. Asegurar que se actúa sobre las

cuestiones detectadas y que se reportan los resultados y

estados.

Aplica no

3 0 0.0

2. Trabajar conjuntamente para identificar, comunicar e

implementar iniciativas de mejora. Aplica no

3. Trabajar con la gestión del servicio y los propietarios

de los procesos para asegurar que los servicios basados

en TI y la gestión de los procesos del servicio son

mejorados continuamente y las causas raíz de cualquier

incidente son identificadas y resueltas.

Aplica no

APO09-BP1 Identificar servicios TI. ¿Aplica? ¿Cumple? NO SI Prom

1. Valorar los servicios TI actuales y los

niveles de servicio para identificar lagunas

entre los servicios existentes y los procesos de

Aplica si

4 2 33.3

368

negocio de los que son base. Identificar áreas

de mejora de los servicios existentes y de las

opciones de nivel del servicio.

2. Analizar, estudiar y estimar la futura

demanda y confirmar la capacidad de los

servicios TI existentes.

Aplica si

3. Analizar las actividades de los procesos de

negocio para identificar la necesidad de

servicios TI nuevos o rediseñados.

Aplica no

4. Comparar los requisitos identificados con

los componentes del servicio existentes en el

catálogo. Si es posible, agrupar los

componentes del servicio existentes (servicios

TI, opciones de nivel de servicio y paquetes

de servicios) en nuevos paquetes de servicio

para cumplir con los requisitos de negocio

identificados.

Aplica no

5. Siempre que sea posible, relacionar

demanda con paquetes de servicio y crear

servicios estandarizados para obtener una

eficiencia global.

Aplica no

6. Revisar el catálogo de servicios TI

regularmente con la gestión del catálogo y la

gestión de relaciones del negocio para

identificar servicios obsoletos. Acordar la

retirada de los mismos y proponer cambios.

Aplica no

APO09-BP2 Catalogar servicios basados en TI. ¿Aplica? ¿Cumple? NO SI Prom

1. Publicar los servicios TI, paquetes de

servicios y opciones de nivel del servicio

activos de la cartera de servicios en los

Aplica si

1 2 66.7

369

catálogos relevantes.

2. Asegurar de forma continua que los

componentes de servicio en el portafolio y en

los catálogos de servicio relacionados están

completos y actualizados.

Aplica si

3. Informar al gestor de relaciones del negocio

de las actualizaciones en los catálogos de

servicios.

Aplica no

APO09-BP3 Definir y preparar acuerdos de servicio. ¿Aplica? ¿Cumple? NO SI Prom

1. Analizar los requisitos para acuerdos de

servicios nuevos o modificados recibidos

desde la gestión de las relaciones con el

negocio para asegurar que los requisitos

puedan ser emparejados con los niveles de

servicio. Considerar aspectos tales como

tiempos del servicio, disponibilidad,

rendimiento, capacidad, seguridad,

continuidad, cumplimiento normativo y

regulatorio, usabilidad y limitaciones de la

demanda.

Aplica si

1 4 80.0

2. Esbozar borradores de acuerdos de nivel de

servicio con el cliente basados en los

servicios, paquetes de servicios y opciones del

nivel de servicio en los catálogos de servicio

relevantes.

Aplica si

3. Determinar, acordar y documentar los

acuerdos operativos internos para cimentar los

acuerdos de servicio con clientes, siempre que

sea aplicable.

Aplica si

370

4. Mantener una relación estrecha con la

gestión de proveedores para asegurar que los

contratos comerciales apropiados con

proveedores de servicio externos cimentan los

acuerdos de servicio con los clientes, siempre

que sea aplicable.

Aplica no

5. Ultimar acuerdos de servicio al cliente con

la gestión de relaciones del negocio. Aplica si

APO09-BP4

Supervisar e informar de los niveles de

servicio. ¿Aplica? ¿Cumple? NO SI Prom

1. Establecer y mantener medidas para

supervisar y recolectar datos del nivel del

servicio.

Aplica si

3 2 40.0

2. Evaluar el rendimiento y proporcionar

informes regular y formalmente sobre el

rendimiento del acuerdo del servicio,

incluyendo desviaciones con respecto a los

valores acordados. Distribuir estos informes a

la gestión de las relaciones del negocio.

Aplica si

3. Hacer revisiones regulares para anticipar e

identificar tendencias en el rendimiento del

nivel de servicio.

Aplica no

4. Proporcionar información de gestión

apropiada para ayudar en la gestión del

rendimiento.

Aplica no

5. Acordar planes de acción y remedio para

los incidentes del rendimiento o tendencias

negativas del mismo.

Aplica no

APO09-BP5 Revisar acuerdos de servicio y contratos. ¿Aplica? ¿Cumple? NO SI Prom

371

1. Revisar los términos de los acuerdos de

servicio regularmente para asegurar que son

efectivos y actuales y que los cambios en los

requisitos, servicios TI, paquetes de servicios

u opciones de nivel de servicio se tienen en

cuenta cuando sea apropiado.

Aplica si

0 1 100.0

APO10-BP1

Identificar y evaluar las relaciones y contratos

con proveedores. ¿Aplica? ¿Cumple? NO SI Prom

1. Establecer y mantener criterios relativo al

tipo, relevancia y criticidad de los contratos y

proveedores, focalizándose en aquellos de

mayor importancia.

No

aplica

1 1 50.0

2. Establecer y mantener un criterio de

evaluación de contratos y proveedores que

permita una revisión general del rendimiento

de los proveedores de manera consistente.

No

aplica

3. Identificar, registrar y categorizar los

proveedores y contratos existentes de acuerdo

al criterio definido para mantener un registro

detallado de los proveedores que deben ser

gestionados cuidadosamente.

Aplica si

4. Evaluar y comparar periódicamente el

rendimiento de los proveedores actuales y

alternativos para identificar oportunidades de

mejora o la necesidad forzosa de reconsiderar

los contratos con los proveedores actuales.

Aplica no

APO10-BP2 Seleccionar proveedores. ¿Aplica? ¿Cumple? NO SI Prom

372

1. Revisar todas las RFIs y RFPs para

asegurar que:

• Definen claramente los requisitos.

• Incluyen un procedimiento para clarificar los

requisitos.

• Dan a los proveedores tiempo suficiente para

elaborar sus propuestas.

• Definen claramente los criterios y el proceso

de decisión.

No

aplica

1 1 50.0

2. Evaluar RFIs y RFPs de acuerdo al proceso

y criterios aprobados y mantener evidencia

documental de las evaluaciones. Verificar las

referencias de los proveedores candidatos.

No

aplica

3. Seleccionar el proveedor que mejor cumpla

la RFP. Documentar y comunicar la decisión

alcanzada y firmar el contrato.

No

aplica

4. En el caso específico de la adquisición de

software, incluir y hacer cumplir los derechos

y obligaciones de todas las partes en los

términos contractuales. Estos derechos y

obligaciones pueden incluir la propiedad y el

licenciamiento de la propiedad intelectual, el

mantenimiento, las garantías, los procesos de

arbitraje, las condiciones de actualización y la

aptitud para el propósito definido, incluyendo

seguridad, depósito de garantía y derechos de

acceso.

Aplica si

373


desarrollos, incluir y hacer cumplir los

derechos y obligaciones de todas las partes en

los términos contractuales. Estos derechos y

obligaciones pueden incluir la propiedad y el

licenciamiento de la propiedad intelectual;

aptitud para el propósito definido, incluyendo

metodologías, pruebas, procesos de gestión de

la calidad, incluyendo los criterios de

evaluación del rendimiento, formas de pago,

garantías, los procesos de arbitraje, gestión de

recursos humanos y cumplimiento con las

políticas corporativas.

No

aplica

6. Obtener asesoramiento legal sobre los

acuerdo de adquisición de desarrollos en

relación a la propiedad y el licenciamiento de

propiedad intelectual.

No

aplica


infraestructuras, instalaciones y servicios

relacionados, incluir y hacer cumplir los

derechos y obligaciones de todas las partes en

los términos contractuales. Estos derechos y

obligaciones pueden incluir niveles de

servicio, procedimientos de mantenimiento,

controles de acceso, seguridad, revisiones de

rendimiento, formas de pago y procesos de

arbitraje.

Aplica no

APO10-BP3

Gestionar contratos y relaciones con

proveedores. ¿Aplica? ¿Cumple? NO SI Prom

1. Asignar propietarios de la relaciones para

cada proveedor y hacerles responsables de la

Aplica no 4 3 42.9

374

calidad del servicio proporcionado.

2. Especificar un proceso de comunicación

formal y de revisión, que incluyan las

interacciones con el proveedor y la

planificación.

Aplica si

3. Acordar, gestionar, mantener y renovar los

contratos con los proveedores. Asegurar que

los contratos son conformes con las normas

corporativas y con los requisitos legales y

regulatorios.

Aplica si

4. Incluir en los contratos con los proveedores

de servicios clave disposiciones para revisar

los lugares de trabajo y las prácticas y

controles de la dirección o de terceras partes.

No

aplica

5. Evaluar la eficiencia de la relación con los

proveedores e identificar las mejoras

necesarias.

Aplica no

6. Definir, comunicar y acordar las maneras

de implementar las mejoras requeridas en las

relaciones.

Aplica no

7. Hacer uso de los procedimientos

establecidos para tratar los conflictos

contractuales haciendo uso primero, siempre

que sea posible, de relaciones y mecanismos

de comunicación eficaces que permitan

superar los problemas de servicio.

Aplica no

8. Definir y formalizar los roles y

responsabilidades de cada proveedor. Cuando

varios proveedores se combinan para

proporcionar un servicio, considerar asignar

Aplica Si

375

un rol de proveedor líder a uno de los

proveedores para que asuma la

responsabilidad global del contrato.

APO10-BP4 Gestionar el riesgo en el suministro. ¿Aplica? ¿Cumple? NO SI Prom

1. Identificar, supervisar y, cuando sea

apropiado, gestionar los riesgos relacionados

con la capacidad del proveedor de entregar el

servicio de forma eficiente, eficaz, segura,

fiable y continua.

Aplica no

1 1 50.0

2. A la hora de definir el contrato, para los

riesgos potenciales, incluir una descripción

clara de todos los requisitos de servicio,

incluyendo depósitos de garantía, proveedores

alternativos o acuerdos en suspenso para

mitigar el riesgo de un posible fallo del

proveedor; los aspectos de seguridad, la

propiedad intelectual y los requisitos legales y

regulatorios.

Aplica si

APO10-BP5

Supervisar el cumplimiento y el rendimiento

del proveedor. ¿Aplica? ¿Cumple? NO SI Prom

1. Definir y documentar los criterios para

supervisar el rendimiento de los proveedores

alineado con los acuerdos de nivel de servicio

y asegurando que el proveedor informa según

estos criterios de forma regular y transparente.

Aplica si

1 1 50.0

2. Supervisar y revisar la entrega de servicios

para asegurar que el proveedor está

proporcionando una calidad del servicio

adecuada, cumpliendo los requisitos y las

condiciones de los contratos.

Aplica no

376

3. Revisar el rendimiento y el coste de los

proveedores para asegurar que son

competitivos y fiables, en comparación con

proveedores alternativos y condiciones de

mercado.

No

aplica

4. Solicitar revisiones independientes de las

prácticas internas y los controles, si se

considera necesario.

No

aplica

5. Registrar y evaluar los resultados de la

revisión periódica y discutirlos con el

proveedor para identificar las necesidades y

oportunidades de mejora.

No

aplica

6. Supervisar y evaluar la información externa

disponible sobre el proveedor.

No

aplica

APO11-BP1 Establecer un sistema de gestión de la calidad

(SGC). ¿Aplica? ¿Cumple? NO SI Prom

1. Asegurar que el marco de control de TI, el

negocio y los procesos de TI incluyen un

enfoque estándar, formal y continuo de

gestión de la calidad que está alineado con los

requerimientos empresariales. Dentro del

marco de control de TI y de los procesos de

negocio y de TI, identificar los requisitos y

criterios de calidad (por ejemplo, sobre la base

de los requerimientos legales y los requisitos

de los clientes).

Aplica no

7 1 12.5

2. Definir roles, tareas, capacidades de

decisión y responsabilidades para la gestión

de la calidad, dentro de la estructura

Aplica no

377

organizativa.

3. Definir planes de gestión de la calidad para

los procesos, proyectos u objetivos

importantes, que estén alineados con los

criterios y políticas del sistema de la calidad a

nivel corporativo. Registrar los datos

relacionados con la calidad.

Aplica si

4. Supervisar y medir la eficacia y la

aceptación de la gestión de la calidad, y

mejorarla cuando sea necesario.

Aplica no

5. Alinear la gestión de la calidad TI con la

gestión de la calidad a nivel corporativo

fomentando un enfoque de la calidad

estandarizado y continuo.

Aplica no

6. Obtener los inputs necesarios de las partes

interesadas internas y externas para la

definición de los requisitos y los criterios de

aceptación de la calidad.

Aplica no

7. Comunicar de manera eficaz el enfoque

(por ejemplo, mediante programas de

formación en calidad formales y regulares).

Aplica no

8. Revisar periódicamente la relevancia,

eficiencia y eficacia de los procesos

específicos de gestión de calidad. Supervisar

el cumplimiento de los objetivos de la calidad.

Aplica no

APO11-BP2 Definir y gestionar los estándares, procesos y

prácticas de calidad. ¿Aplica? ¿Cumple? NO SI Prom

378

1. Definir las normas, procedimientos y

prácticas de gestión de la calidad en

consonancia con los requisitos del marco de

control TI. Hacer uso de las mejores prácticas

de la industria como referencia para la mejora

y adaptación de los procesos de gestión de la

calidad de la empresa.

Aplica no

2 0 0.0

2. Considerar los costes y los beneficios de las

certificaciones de calidad. Aplica no

APO11-BP3 Enfocar la gestión de la calidad en los

clientes. ¿Aplica? ¿Cumple? NO SI Prom

1. Enfocar la gestión de la calidad en los

clientes, mediante la determinación los

requisitos de los clientes externos e internos y

asegurando su el alineamiento de las normas y

prácticas de TI. Definir y comunicar los roles

y responsabilidades relativos a la resolución

de conflictos entre clientes/usuarios y la

organización TI.

Aplica si

5 1 16.7

2. Gestionar las necesidades y las expectativas

del negocio para cada proceso de negocio,

servicio operativo y nuevas soluciones de TI y

mantener sus criterios de aceptación de la

calidad. Capturar los criterios de aceptación

de la calidad para su inclusión en los ANS.

Aplica no

3. Comunicar los requisitos y expectativas del

cliente por toda la organización de negocio y

de TI.

Aplica no

4. Obtener periódicamente los puntos de vista

del cliente sobre los procesos de negocio y la Aplica no

379

provisión de servicios y la entrega de

soluciones TI, para determinar el impacto

sobre las normas y prácticas de TI y garantizar

que se cumplen las expectativas de los

clientes y se actúa en consecuencia.

5. Supervisar y revisar regularmente que el

SGC está de acuerdo a los criterios de

aceptación de la calidad. Incluir los

comentarios de los clientes, usuarios y la

dirección. Responder a las discrepancias en

los resultados de las revisiones para lograr una

mejorar continua del SGC.

Aplica no

6. Capturar los criterios de aceptación de la

calidad para su inclusión en los ANS. Aplica no

APO11-BP4 Supervisar y hacer controles y revisiones de

calidad. ¿Aplica? ¿Cumple? NO SI Prom

1. Supervisar la calidad de los procesos y

servicios de forma permanente y sistemática

mediante la descripción, las métricas, los

análisis, la mejora/ingeniería y controles de

los procesos.

Aplica si

2 5 71.4

2. Preparar y llevar a cabo revisiones de

calidad. Aplica si

3. Informar de los resultados de las revisiones

y poner en marcha las mejoras necesarias. Aplica si

4. Supervisar la calidad de los procesos, así

como el valor proporcionado por la calidad.

Asegurar que la medición, supervisión y

registro de la información es utilizada por los

propietarios de los procesos para tomar las

Aplica si

380

acciones correctivas y preventivas necesarias.

5. Supervisar las métricas de calidad basadas

en objetivos alineadas con los objetivos

generales de calidad y cubriendo la calidad de

todos los servicios y los proyectos

individuales.

Aplica si

6. Asegurar que la dirección y los propietarios

de los procesos revisan periódicamente el

rendimiento de la gestión respecto a las

métricas de calidad definidas.

Aplica no

7. Analizar los resultados del rendimiento de

la gestión de la calidad global. Aplica no

APO11-BP5

Integrar la gestión de la calidad en la

implementación de soluciones y la entrega de

servicios.


1. Integrar las prácticas de gestión de la

calidad en los procesos y prácticas de

desarrollo de soluciones.

Aplica no

2 1 33.3

2. Supervisar de manera continua los niveles

de servicio e incorporar prácticas de gestión

de la calidad en todos los procesos y prácticas

de prestación de servicios.

Aplica si

3. Identificar y documentar las causas raíz de

las no conformidades y comunicar los

resultados a la dirección de TI y otras partes

interesadas de manera oportuna para permitir

que se adopten las medidas correctivas

oportunas. Cuando sea necesario, realizar el

Aplica no

381

seguimiento de las revisiones.

APO11-BP6 Mantener una mejora continua ¿Aplica? ¿Cumple? NO SI Prom

1. Mantener y comunicar regularmente la

necesidad y los beneficios de la mejora

continua.

Aplica si

4 3 42.9

2. Establecer una plataforma para compartir

las mejores prácticas y para capturar la

información sobre los defectos y errores que

permita aprender de ellos.

Aplica no

3. Identificar ejemplos recurrentes de los

defectos de calidad, determinar su causa raíz,

evaluar su impacto y resultado y acordar

acciones de mejora con todos los miembros de

los proyectos y los servicios.

Aplica si

4. Identificar ejemplos recurrentes de los

defectos de calidad, determinar su causa raíz,

evaluar su impacto y resultado y acordar

acciones de mejora con todos los miembros de

los proyectos y los servicios.

No

aplica

5. Promover una cultura de calidad y mejora

continua. Aplica no

6. Establecer un circuito de retroalimentación

entre la gestión de la calidad y la gestión de

problemas.

Aplica no

7. Proporcionar a los empleados la formación

necesaria en los métodos y herramientas de

mejora continua.

Aplica no

382

8. Realizar un análisis comparativo con los

resultados de las revisiones de calidad internas

frente a datos históricos, las directrices de la

industria, las normas y datos de tipo similar en

otras empresas.

Aplica si

APO12-BP1 Recopilar datos. ¿Aplica? ¿Cumple? NO SI Prom

1. Establecer y mantener un método para la

recogida, clasificación y análisis de datos

relacionados con riesgo de TI, dando cabida a

múltiples tipos de eventos, múltiples

categorías de riesgo de TI y múltiples factores

de riesgo.

Aplica si 4 3 42.9

2. Registrar datos relevantes sobre el entorno

de operación interno y externo de la empresa

que pudieran jugar un papel significativo en la

gestión del riesgo de TI.

Aplica no

3. Medir y analizar los datos históricos de

riesgo de TI y de pérdidas experimentadas

tomados de datos y tendencias externas

disponibles, empresas similares de la industria

– basados en eventos registrados, bases de

datos y acuerdos de la industria sobre

divulgación de eventos comunes.

Aplica no

4. Registrar datos sobre eventos de riesgo que

han causado o pueden causar impactos al

beneficio/valor facilitado por TI, a la entrega

de programas y proyectos de TI y/o a las

operaciones y entrega de servicio de TI.

Capturar datos relevantes sobre asuntos

Aplica si

383

relacionados, incidentes, problemas e

investigaciones.

5. Para clases o eventos similares, organizar

los datos recogidos y destacar factores

contribuyentes. Determinar los factores

contribuyentes comunes para eventos

múltiples.

Aplica no

6. Determinar las condiciones específicas que

existían o faltaban cuando ocurrieron los

eventos de riesgo y la forma en la cual las

condiciones afectaban la frecuencia del evento

y la magnitud de la pérdida.

Aplica no

7. Ejecutar análisis periódicos de eventos y de

factores de riesgo para identificar asuntos

nuevos o emergentes relacionados con el

riesgo y para obtener un entendimiento de los

asociados factores de riesgo internos y

externos.

Aplica si

APO12-BP2 Analizar el riesgo. ¿Aplica? ¿Cumple? NO SI Prom

1. Definir la amplitud y profundidad

apropiadas para los esfuerzos en análisis de

riesgos, considerando todos los factores de

riesgo y la criticidad en el negocio de los

activos. Establecer el alcance del análisis de

riesgos después de llevar a cabo un análisis

coste-beneficio.

Aplica si 3 4 57.1

2. Construir y actualizar regularmente

escenarios de riesgo de TI, que incluyan

escenarios compuestos en cascada y/o tipos de

Aplica no

384

amenaza coincidentes y desarrollar

expectativas para actividades de control

específicas, capacidades para detectar y otras

medidas de respuesta.

3. Estimar la frecuencia y magnitud de

pérdida o ganancia asociada con escenarios de

riesgo de TI. Tener en cuenta todos los

factores de riesgo que apliquen, evaluar

controles operacionales conocidos y estimar

niveles de riesgo residual.

Aplica no

4. Comparar el riesgo residual con la

tolerancia al riesgo e identificar exposiciones

que puedan requerir una respuesta al riesgo.

Aplica si

5. Analizar el coste-beneficio de las opciones

de respuesta al riesgo potencial, tales como

evitar, reducir/mitigar, transferir/compartir y

aceptar y explotar/capturar. Proponer la

respuesta al riesgo óptima.

Aplica si

6. Especificar requerimientos de alto nivel

para los proyectos o programas que

implementarán las respuestas de riesgo

seleccionadas. Identificar requerimientos y

expectativas para los controles clave que son

apropiados para las respuestas de mitigación

de riesgos.

Aplica si

7. Validar los resultados de análisis de riesgos

antes de usarlos para la toma de decisiones,

confirmando que los análisis se alinean con

requerimientos de empresa y verificando que

las estimaciones fueron apropiadamente

calibradas y examinadas ante una posible

Aplica no

385

parcialidad.

APO12-BP3 Mantener un perfil de riesgo. ¿Aplica? ¿Cumple? NO SI Prom

1. Inventariar los procesos de negocio,

incluyendo el personal de soporte,

aplicaciones, infraestructura, instalaciones,

registros manuales críticos, vendedores,

proveedores y externalizados y documentar la

dependencia de los procesos de gestión de

servicio TI y de los recursos de

infraestructuras TI.

Aplica no 3 4 57.1

2. Determinar y acordar qué servicios TI y

recursos de infraestructuras de TI son

esenciales para sostener la operación de

procesos de negocio. Analizar dependencias e

identificar eslabones débiles.

Aplica no

3. Agregar escenarios de riesgo actuales, por

categoría, línea de negocio y área funcional. Aplica si

4. De forma regular, capturar toda la

información sobre el perfil de riesgo y

consolidarla dentro de un perfil de riesgo

agregado.

Aplica si

5. Sobre la base de todos los datos del perfil

de riesgo, definir un conjunto de indicadores

de riesgo que permitan la identificación rápida

y la supervisión del riesgo actual y las

tendencias de riesgo.

Aplica no

6. Capturar información sobre eventos de

riesgos de TI que se han materializado, para

su inclusión en el perfil de riesgo de TI de la

Aplica si

386

empresa.

7. Capturar información sobre el estado del

plan de acción del riesgo, para la inclusión en

el perfil de riesgo de TI de la empresa.

Aplica si

APO12-BP4 Expresar el riesgo. ¿Aplica? ¿Cumple? NO SI Prom

1. Informar de los resultados del análisis de

riesgos a todas las partes interesadas afectadas

en términos y formatos útiles para soportar las

decisiones de empresa. Cuando sea posible,

incluir probabilidades y rangos de pérdida o

ganancia junto con niveles de confianza que

permitan a la dirección equilibrar el retorno

del riesgo.

Aplica no 4 1 20.0

2. Proporcionar a los responsables de toma de

decisiones un entendimiento de los escenarios

peor y más probables, exposiciones de

diligencia debida y consideraciones sobre la

reputación, legales y regulatorias

significativas.

Aplica si

3. Informar el perfil de riesgo actual a todas

las partes interesadas, incluyendo la

efectividad del proceso de gestión de riesgos,

la efectividad de los controles, diferencias,

inconsistencias, redundancias, estado de la

remediación y sus impactos en el perfil de

riesgo.

Aplica no

4. Revisar los resultados de evaluaciones

objetivas de terceras partes, auditorías internas

y revisiones del aseguramiento de la calidad y

mapearlos con el perfil de riesgo. Revisar las

Aplica no

387

diferencias y exposiciones identificadas para

determinar la necesidad de análisis de riesgos

adicionales.

5. De forma periódica, para áreas con un

riesgo relativo y una paridad de capacidad del

riesgo, identificar oportunidades relacionadas

con TI que podrían permitir la aceptación de

un mayor riesgo y un crecimiento y retorno

mayores.

Aplica no

APO12-BP5

Definir un portafolio de acciones para la

gestión de riesgos. ¿Aplica? ¿Cumple? NO SI Prom

1. Mantener un inventario de actividades de

control que estén en marcha para gestionar al

riesgo y que permitan que el riesgo que se

tome esté alineado con el apetito y tolerancia

al riesgo. Clasificar las actividades de control

y mapearlas con las declaraciones de riesgo

específicas de TI y agrupaciones de riesgo de

TI.

Aplica si 1 2 66.7

2. Determinar si cada entidad organizativa

supervisa el riesgo y acepta la responsabilidad

para operar dentro de sus niveles de tolerancia

individuales y de portafolio.

Aplica no

3. Definir un conjunto de propuestas de

proyecto equilibradas diseñadas para reducir

el riesgo y/o proyectos que permitan

oportunidades estratégicas empresariales,

considerando costes/beneficios, el efecto en el

perfil de riesgo actual y las regulaciones.

Aplica si

APO12-BP6 Responder al riesgo. ¿Aplica? ¿Cumple? NO SI Prom

388

1. Preparar, mantener y probar planes que

documenten los pasos específicos a tomar

cuando un evento de riesgo pueda causar un

incidente significativo operativo o evolucionar

en un incidente con un impacto de negocio

grave. Asegurar que los planes incluyan vías

de escalado a través de la empresa.

Aplica si 2 2 50.0

2. Categorizar los incidentes y comparar las

exposiciones reales con los umbrales de

tolerancia al riesgo. Comunicar los impactos

en el negocio a los responsables de toma de

decisiones como parte de la notificación y

actualizar el perfil de riesgo.

Aplica no

3. Aplicar el plan de respuesta apropiado para

minimizar el impacto cuando ocurren

incidentes de riesgo.

Aplica si

4. Examinar eventos adversos/pérdidas del

pasado y oportunidades perdidas y determinar

sus causas raíz. Comunicar la causa raíz,

requerimientos de respuesta adicionales para

el riesgo y mejoras de proceso a los

responsables de toma de decisiones

apropiados y asegurarse de que la causa, los

requerimientos de respuesta y la mejora del

proceso se incluyan en los procesos de

gobierno del riesgo.

Aplica no

APO13-BP1 Establecer y mantener un SGSI. ¿Aplica? ¿Cumple? NO SI Prom

1. Definir el alcance y los límites del SGSI en

términos de las características de la empresa,

Aplica no 7 0 0

389

la organización, su localización, activos y

tecnología. Incluir detalles de y justificación

para, cualquier exclusión del alcance.

2. Definir un SGSI de acuerdo con la política

de empresa y alineada con la empresa, la

organización, su localización, activos y

tecnología.

Aplica no

3. Alinear el SGSI con el enfoque global de la

gestión de la seguridad en la empresa. Aplica no

4. Obtener autorización de la dirección para

implementar y operar o cambiar el SGSI. Aplica no

5. Preparar y mantener una declaración de

aplicabilidad que describa el alcance del

SGSI.

Aplica no

6. Definir y comunicar los roles y las

responsabilidades de la gestión de la seguridad

de la información.

Aplica no

7. Comunicar el enfoque de SGSI. Aplica no

APO13-BP2 Definir y gestionar un plan de tratamiento del

riesgo de la seguridad de la información. ¿Aplica? ¿Cumple? NO SI Prom

1. Formular y mantener un plan de tratamiento

de riesgos de seguridad de la información

alineado con los objetivos estratégicos y la

arquitectura de la empresa. Asegurar que el

plan identifica las prácticas de gestión y las

soluciones de seguridad apropiadas y óptimas,

con los recursos, las responsabilidades y las

prioridades asociadas para gestionar los riegos

identificados de seguridad de información.

Aplica no 5 2 28.6

390

2. Mantener un inventario de componentes de

la solución implementados para gestionar los

riesgos relacionados con la seguridad como

parte de la arquitectura de la empresa.

Aplica si

3. Desarrollar propuestas para implementar el

plan de tratamiento de riesgos de seguridad de

la información, sustentados en casos de

negocio adecuados que incluyan consideren la

financiación la asignación de roles y

responsabilidades.

Aplica no

4. Proporcionar información para el diseño y

desarrollo de prácticas de gestión y soluciones

seleccionadas en base al plan de tratamiento

de riesgos de seguridad de información.

Aplica si

5. Definir la forma de medición de la

efectividad de las prácticas de gestión

seleccionadas y especificar la forma de utilizar

estas mediciones para evaluar la efectividad y

producir resultados reproducibles y

comparables.

Aplica no

6. Recomendar programas de formación y

concienciación en seguridad de la

información.

Aplica no

7. Integrar la planificación, el diseño, la

implementación y la supervisión de los

procedimientos de seguridad de información y

otros controles que permitan la prevención y

detección temprana de eventos de seguridad,

así como la respuesta a incidentes de

seguridad.

Aplica no

391

APO13-BP3 Supervisar y revisar el SGSI. ¿Aplica? ¿Cumple? NO SI Prom

1. Realizar revisiones periódicas del SGSI,

incluyendo aspectos de políticas, objetivos y

prácticas de seguridad del SGSI. Considerar

los resultados de auditorías de seguridad,

incidentes, resultados de mediciones de

efectividad, sugerencias y retroalimentación

de todas las partes interesadas.

Aplica si 3 2 40.0

2. Realizar auditorías internas al SGSI a

intervalos planificados. Aplica no

3. Realizar revisiones periódicas del SGSI por

la Dirección para asegurar que el alcance

sigue siendo adecuado y que se han

identificado mejoras en el proceso del SGSI.

Aplica no

4. Proporcionar información para el

mantenimiento de los planes de seguridad para

que consideren las incidencias de las

actividades de supervisión y revisión

periódica.

Aplica si

5. Registrar las acciones y los eventos que

podrían tener un impacto en la efectividad o el

desempeño del SGSI.

Aplica no

392

ANEXO 5: Mapa de Procesos

Actuales procesos de la empresa IT-Expert.

Ilustración 40: Mapa de procesos


Mapeo entre los procesos actuales de IT-Expert y Modelo de Procesos de COBIT 5 del

Primer Dominio de Gestión 26

26

Este modelo no es parte del marco de referencia COBIT 5, pero es útil como apoyo en las

actividades que se realizaran en el transcurso del proyecto.

393

Descripción: Cuadro de doble entrada que muestra la relación entre los procesos

identificados en el mapeo anterior (Mapeo entre las metas relacionadas con TI y los

Procesos del modelo de COBIT 5) con los procesos actuales de la empresa IT-Expert.

Propósito: Tener una trazabilidad entre la situación actual de la empresa y el modelo de

procesos de COBIT 5.

Alcance: Solo se considera los procesos del primer dominio de gestión de COBIT 5.

Tabla 25: Mapeo entre los procesos actuales de IT-Expert y Modelo de Procesos de COBIT

5 del Primer Dominio de Gestión

Mapeo entre los procesos actuales de IT-Expert y Modelo de Procesos de COBIT 5 del

Primer Dominio de Gestión

Procesos Actuales de IT-Expert

ID

Proceso Nombre del Proceso

Pla

nte

am

ien

to E

stra

tég

ico

Ges

tió

n d

e R

ecu

rso

s

Ges

tió

n d

e C

ali

da

d

Ges

tió

n d

e R

iesg

os

TI

Ges

tió

n d

e C

am

bio

Ges

tió

n d

e C

on

ocim

ien

to

Ges

tió

n

de

Po

rta

foli

o

de

Proy

ecto

s

Ges

tió

n d

e S

erv

icio

s T

I



APO03

Gestionar la Arquitectura

Empresarial



APO06 Gestionar el Presupuesto y los Costes

394









395

ANEXO 6: Actas de Reunión 2da Etapa

Reuniones Profesor Gerente

405

Reuniones Profesor Cliente

413

Reuniones Alumno Gerente

418

ANEXO 7: EDT del Proyecto 2da Etapa

432

ANEXO 8: Actas de Aceptación de los Entregables de la

Implementación del Modelo de Gestión Estratégica

433

ANEXO 9: Acta de Aceptación de la Gestión del Proyecto

434

ANEXO 10: Constancia de Servicio de Validación y

Verificación QS

438

ANEXO 11: Certificado de Aprobación

439

ANEXO 12: Paper Científico

Implementación del Proceso “Gestionar el Marco de Gestión de TI del dominio APO”

de COBIT 5 para una pequeña empresa

Peter Juro, Carlos A. Velásquez, Vania Rosas

Universidad Peruana de Ciencias Aplicadas, Facultad de Ingeniería

Prolongación primavera 2390, Lima, Perú, Lima 33

[email protected], [email protected], [email protected]

Abstract

Nowadays, an appropriate information management in companies is crucial to succeed in a very competitive

business environment and doing a correct decision making. Therefore, TI management is critic from a strategy

level view. This paper shows the research about the implementation of the process named “Managing the

management TI frame” in a small company that offers information technology services. This implementation is

based on ISACA “COBIT 5 Implementation” methodology. The reference model process that is used was

obtained from the TI management first domain of the COBIT 5 reference frame and the process evaluation

model used was the PAM (Process Assessment Model) model from the same reference frame. For this

investigation job, firstly, a current-capacity evaluation of all process was done and also the level capacity goals

were done as well; after performing a gap analysis, required improvements to reach level capacity goal were

proposed, which were implemented in the company. Furthermore, it was determined to apply improvements

related to a process using an evaluation that is based on the implementation difficulty level (time, required

knowledge) and the benefits they would provide. Later, a second evaluation was performed to check if the

capacity goal was reached for the elected process; indeed, it was reached and it shows that is very feasible to

implement the models proposed from the reference frame.

Keywords: COBIT 5, APO, implementation, strategic management model of IT.

Resumen



440

Actualmente el manejo adecuado de información en las empresas es fundamental para sobresalir en un

ambiente competitivo a nivel empresarial y realizar una correcta toma de decisiones. En este sentido, la gestión

de TI desde un nivel estratégico es vital. Este artículo muestra el trabajo realizado en la implementación del

proceso “Gestionar el marco de gestión de TI” en una pequeña empresa de servicios de tecnología de

información. Esta implementación se realizó siguiendo la metodología de implementación propuesta por la

guía de ISACA “COBIT 5 Implementation”. El modelo de procesos de referencia usado fue obtenido del

primer dominio de gestión de TI del marco de referencia COBIT 5 y el modelo de evaluación de procesos

utilizado fue PAM (Process Assessment Model) del mismo marco de referencia. Para este trabajo, se realizó en

primera instancia una evaluación de la capacidad actual de los procesos y se definió también el nivel de

capacidad objetivo de los mismos. Después de un análisis de brechas, se propusieron las mejoras necesarias

para alcanzar el nivel de capacidad objetivo, las cuales se implementaron en la empresa. Se determinó aplicar

las mejoras relacionadas al proceso mediante una evaluación basada en la dificultad de implementación

(tiempo, conocimiento necesario) y los beneficios que producirían estas mejoras. Posteriormente, se realizó

una segunda evaluación para ver si efectivamente se había alcanzado el nivel de capacidad objetivo para el

proceso elegido, lo cual se logró y muestra lo factible que es implementar el modelo de todos los dominios del

marco de referencia.

Palabras clave: COBIT 5, APO, implementación, modelo de gestión estratégica de TI.

Área temática: Gobierno y gestión de TI

Introducción

La tecnología de información (TI) no es un tema nuevo, más bien todo lo contrario. Sin embargo, desde que la

automatización de la gestión de la misma ha sido posible, se ha convertido en una herramienta clave para las

empresas. Pasó de ser un elemento de la empresa que solo desempeñaba una función de soporte y de manera

aislada del negocio a ser un elemento que interactúa con toda la organización, pues administra el recurso más

valioso de la empresa, la información. Gracias a eso, actualmente los servicios de TI representan una parte

esencial de los procesos de negocio.

Pero no todas las organizaciones realizan una correcta gestión de TI, sobre todo aquellas que no están

consolidadas, las pymes, estas presentan ciertos problemas vinculados a la gestión de TI, ya que la tecnología

de la información por sí sola no asegura nada. Algunos de los problemas que enfrentan la mayoría de estas

441

organizaciones en la gestión de TI son: Falta de alineamiento entre los objetivos de TI y los estratégicos, una

pobre gestión de proyectos, inversiones que no generan beneficio alguno, falta de control y seguimiento, y

gestión de servicios inadecuada.

Por ello, es importante identificar alguna herramienta que ayude a corregir estos problemas. Actualmente,

existen muchos marcos de referencias y conjuntos de buenas prácticas relacionadas a la TI, pero se ha

encontrado que si son utilizados de manera colectiva se tornan muy confusos y difíciles de integrar, incluso

pueden llegar a obstruirse entre ellos.

ISACA, la Asociación de Auditoría y Control de Sistemas de Información, tomando en cuenta esto ha

desarrollado un marco de referencia integrador, el cual permite a las empresas entender la importancia

estratégica de TI e integra las mejores prácticas, estándares u otros marcos relacionados a TI bajo un solo

nombre, COBIT 5. Este marco propone el gobierno y gestión de la TI, como solución para dar apoyo a las

empresas en la planeación estratégica, y sobre todo en la toma de decisiones.

Este artículo tiene como objetivo presentar la implementación de un modelo de gestión estratégica basado en

COBIT 5 para un pyme dedicada a brindar servicios de TI. La metodología de implementación usada se

encuentra en la guía “COBIT 5: Implementation”, el modelo de evaluación de procesos usado se encuentra en

la guía “COBIT 5: Process Assessment Model” y el modelo de referencia de procesos en la guía “COBIT 5:

Enabling Processes”.

A continuación, se detallará la estructura del presente artículo. En la sección 2, se muestra la información de la

revisión de la literatura de modelos de gobierno y gestión de TI. La sección 3 contiene el modelo propuesto de

gestión estratégica de TI basado en el dominio APO del marco de referencia COBIT 5. En la sección 4, se

muestra la validación del modelo propuesto. Por último, las conclusiones son presentadas en la sección 5.

Revisión de modelos de gobierno y gestión de TI

En [2], se propone un modelo de gestión basado en COBIT 5 y la ISO 27002 orientado a la seguridad de la

información del ERP implementado en la empresa EP PETROECUADOR, en el cual se validó el

involucramiento de la alta gerencia en todas las iniciativas propuestas, para lo cual se tuvo que identificar los

procesos que más aportaban valor a los objetivos de la alta gerencia mediante la cascada de metas. El principal

aporte de esta investigación se ve reflejado en el uso de COBIT 5, no solamente como un marco de referencia

de procesos, sino más bien como un medio para potenciar un proyecto estratégico mediante el gobierno

442

corporativo de TI, basado en el análisis de riesgo, la protección y uso adecuado de uno de los activos más

importantes de una organización “La información”. El modelo propuesto ha considerado los siete

catalizadores: 1 - Política y principios, 2 - procesos, 3 - estructura organizativa, 4 – Servicios e infraestructura,

5 – información, 6 - Cultura, ética y comportamientos, 7 – Gente, habilidades y competencias, los cuales se

especificaron usando la norma inicialmente mencionada.

Por otro lado, en [13], se propone un modelo de gobierno y gestión de TI que alinee el área de TI con la

estrategia del negocio enfocado en la etapa de transformación digital de la industria editorial. La investigación

se basa en el modelo genérico de gobierno y gestión de TI M3GTI, el cual posee tres ejes principales:

Gobierno de TI, que permite alinear desde un vista de TI a las empresas de la industria editorial en su proceso

de transformación digital; Gestión de TI, que permite apoyar a las empresas en su proceso de transformación

digital; y por último, documentación y modelado, que presenta la documentación y modelado los procesos de

forma genérica basándose en el gobierno y gestión de TI. La propuesta se apoya en COBIT 5 como marco de

referencia, y utiliza la técnica de la cascada de metas para obtener los procesos relevantes para el sector. Uno

de los aportes más importantes es la definición de la brecha estratégica de la industria editorial, que permite

definir cuáles deben ser los puntos en que se debe concentrar mayor esfuerzo, y que combinado con la técnica

de la cascada, al final se pudo obtener los procesos de TI filtrados y priorizados, los cuales componen el

modelo propuesto.

Por otra parte, [15] propone un modelo de gobierno de TI para entidades bancarias de Colombia, que satisfaga

las necesidades legales y corporativas de este sector. Para realizar este modelo se tuvo que escoger una base de

referencia así como otros marcos que apoyen a las estrategias de gobierno. Se seleccionó la ISO 38500:2008,

ya que es una norma internacional que brinda un estándar para que la dirección de las organizaciones evalúe,

dirija y controle el uso de las tecnologías de la información. Los marcos de apoyo que complementa el marco

base y apoyan el gobierno de TI son: COBIT 4.1, CMMIDEV, ISO 27001, ISO 27002 e ISO 9001.

Para crear este modelo, primero ser tuvo que identificar los requerimientos de TI claves para el modelo de

gobierno de TI, los cuales se obtuvieron del Sistema de Control Interno para la gestión de tecnología, el cual

está orientado a cubrir los requerimientos de TI y a contribuir al logro de los objetivos institucionales, y que

por cumplir de ley las entidades bancarias deben tener. Después de determinar los requerimientos de TI, el

marco base y los marcos de apoyo, se procedió a definir el modelo, el cual consistió en agrupar los 19

requerimientos de TI identificados en los 6 principios de la Norma ISO 38500:2008. Posterior a esto, se

determinó cuales actividades de los marcos de apoyo ayudarían a cumplir con los objetivos de los 6 principios

de ISO 38500:2008 y finalmente se determinó una serie de indicadores de gestión que permitan evaluar el

cumplimiento de las metas propuestas.

443

Adicionalmente, este trabajo propone un método de autoevaluación del nivel de madurez del gobierno de TI

también basado en la ISO 385000:2008. Asimismo, añade a su propuesta una guía de implementación, la cual

se desarrolla de la siguiente manera: fase 1 – Obtener el compromiso de la alta dirección, fase 2 – Determinar

el estado actual, fase 3 – Establecer el estado futuro deseado, fase 4 – Identificar las brechas, fase 5 – Definir el

plan de implementación, fase 6 – Desarrollar el plan de implementación, y por último, la fase 7 – Monitorear y

controlar el desempeño de la implementación.

En un cuarto artículo, [1] se presenta un modelo para el gobierno de las TI para universidades como parte del

marco de referencia GTI4U, el cual que se basa y respeta por completo el modelo de gobierno de la ISO

38500, pero agrega un conjunto de herramientas que facilitan su implementación en entornos universitarios. El

modelo GTI4U está compuesto por los siguientes tres niveles.

El primer nivel incluye todos los elementos de la norma ISO 38500: 1 - modelo de gobierno TI, compuesto por

tres actividades: Evaluar, Dirigir y Monitorizar, 2 - principios, que expresan cuales son los comportamientos

que deben adoptarse a la hora de la toma de decisiones y son: Responsabilidad, estrategia, adquisición,

desempeño, cumplimiento y componente humano, y 3 - buenas prácticas y diccionario de términos. El segundo

está compuesto por un modelo de madurez (MM) para cada principio, que se utilizará para establecer en qué

nivel de madurez de gobierno de las TI se encuentra cada universidad. La escala de calificación posee seis

valores: 0 – Inexistente, 1 – Inicial, 2- Repetible, 3 – Definido, 4- Medible y 5 – Optimizado. Y el tercero está

compuesto por un conjunto de indicadores que van servir para medir hasta qué punto se satisfacen los criterios

presentados en la norma. Cada uno de los principios de la norma ISO 38500 incluidos en el GTI4U será

evaluado a partir de un conjunto de indicadores agrupados en tres tipos diferentes: Las cuestiones de madurez

(CM), que son preguntas diseñadas con el objetivo de situar automáticamente a la organización en el nivel que

le corresponde dentro del Modelo de Madurez de Gobierno TI de cada principio, los indicadores de evidencia

de gobierno (IEG), que son buenas prácticas que deben estar presentes en la organización para mejorar su

madurez de gobierno de las TI, y por último, los indicadores cuantitativos de gobierno (ICG), que son

evidencias de cuál es el estado de madurez de algunos aspectos tecnológicos de la organización.

Finalmente, en [12] se presenta un Modelo Unificado e Integrado de Procesos para la Gobernanza y la Gestión

de TI que reúna las mejores prácticas de la industria, de tal manera que las organizaciones no tengan que

estudiar los diversos estándares existentes, sino que exista un modelo único que puedan tomar como base para

la personalización de su esquema de gobierno y gestión de TI, de acuerdo a las características propias de la

organización. Para el desarrollo del modelo, se revisaron los siguientes marcos de referencia: ISO 38500, el

modelo Calder Moir, COBIT 5, PMBOK, ISO 20000, ITIL, CMMI y el modelo APQC. A partir de los marcos

de trabajo o modelos de buenas prácticas mencionados, se definió un modelo unificado e Integrado de procesos

para la gobernanza y gestión de TI que recoge los procesos clave, de extremo a extremo en el ciclo de vida de

la información, siguiendo la siguiente metodología: Primero, se evaluaron las coincidencias y diferencias de

444

todos los procesos sugeridos para obtener la relación de procesos más completa. Segundo, se seleccionaron los

procesos más relevantes. Tercero, se agruparon los procesos en tres niveles: Estratégico, operativo y de

soporte. Y por último, se realizó la descripción de los procesos definidos en el mapa de procesos.

El modelo propuesto en el nivel estratégico, el cual engloba los procesos estratégicos clave para el

establecimiento y desarrollo de la estrategia para el buen gobierno de TI, posee tres áreas: 1 - Evaluación,

Dirección y Monitorización de TI, 2 - Planificación y Organización, y 3 - Gestión de la Demanda. En el nivel

operativo, en el cual se encuentran aquellos procesos ligados directamente con la realización del producto o

prestación del servicio, propone cuatro áreas: 4 - Gestión de Programas y Proyectos, 5 - Gestión de

Aplicaciones, 6 - Gestión de Servicios, y 7 - Gestión de Operación. Y en el nivel de soporte y monitorización,

en el cual se encuentran aquellos procesos horizontales que ayudan y se interrelacionan fuertemente con los

procesos de los grupos anteriores, se dividen en dos áreas: 8 - Procesos de soporte y 9 - Procesos de

Monitorización.

El modelo propuesto permite el alineamiento entre TI y el negocio, así como, una mayor interrelación entre los

procesos de manera que TI se integra en la organización y deja de operar como una entidad aislada. Sin

embargo, el modelo propuesto no detalla los procesos, es decir no indica sus entradas, salidas, y flujo de

actividades, lo cual sería una muy buena base para las empresas y facilitaría bastante la implantación del

modelo.

Aplicación del modelo de gestión estratégica de TI

La presente sección muestra trabajo realizado en la implementación del modelo del proceso Gestionar el marco

de gestión de TI propuesto por el marco de referencia COBIT 5. Para realizar esta implementación, se ha

seguido la metodología de implementación propuesta por ISACA en la guía COBIT 5: Implementation. Esta se

consta de siete fases: ¿Cuáles son los motivos? ¿Dónde estamos ahora? ¿Dónde queremos ir? ¿Qué es preciso

hacer? ¿Cómo conseguiremos llegar? ¿Hemos conseguido llegar? y ¿Cómo mantenemos vivo el impulso?

En la primera fase, es fundamental establecer en la organización la necesidad del cambio a nivel directivo, pues

sin un patrocinio ejecutivo es menos probable el éxito del proyecto. Con este fin, se identificaron los puntos

débiles y eventos desencadenantes del cambio, los cuales sirvieron como motivadores del cambio que fueron

comunicados a la dirección para crear conciencia y fortalecer su apoyo, y son mostrados en la tabla 1.

Asimismo, es importante también considerar las necesidades de las partes interesadas. Por eso, se identificaron

445

los intereses y expectativas de las mismas, así como, las responsabilidades y el nivel de apoyo relacionado al

proyecto.

Motivadores del cambio

Duplicación de tareas o responsabilidades

Desconocimiento de las políticas

Gestión del conocimiento ineficiente

Gestión de los documentos ineficiente

Tabla 1. Motivadores del cambio identificados

En la segunda fase, era necesario en primera instancia identificar cómo TI agrega valor a la empresa, es decir,

determinar la manera en que los objetivos de TI ayudan alcanzar los objetivos de la organización. Para esto, se

tuvo que realizar la cascada de metas, la cual muestra la trazabilidad entre los objetivos de negocio, los

objetivos de TI y los de procesos. Gracias a este mapeo, se pudo identificar los procesos clave mostrados la

tabla 2, los cuales se sometieron a una evaluación de procesos para determinar su capacidad.

Procesos Número de metas de TI

relacionados

APO01 Gestionar el Marco de Gestión de

TI

3

APO02 Gestionar la Estrategia 3

APO03 Gestionar la Arquitectura

Empresarial

3

APO04 Gestionar la Innovación 2

APO05 Gestionar Portafolio 1

APO07 Gestionar los Recursos Humanos 3

446

APO08 Gestionar las Relaciones 3

APO09 Gestionar los Acuerdos de Servicio 1

APO10 Gestionar los Proveedores 1

APO11 Gestionar la Calidad 2

APO12 Gestionar el Riesgo 2

APO13 Gestionar la Seguridad 2

Tabla 2. Procesos alineados a los objetivos de TI

Para la evaluación de los procesos, se utilizó el modelo de evaluación de procesos propuesto por ISACA

COBIT Process Model Assessment (PAM), ya que al estar basado en la ISO/IEC 15504 permite realizar una

evaluación confiable, coherente y repetible. Este modelo propone seis niveles de capacidad: 0-incompleto, 1-

ejecutado, 2-gestionado, 3-establecido, 4-predecible y 5-optimizado. Cada nivel se evalúa independientemente

y tiene una escala de cuatro calificaciones: N-no alcanzado, P-parcialmente alcanzado, L-ampliamente

alcanzado y F-completamente alcanzado. Para determinar la calificación, es necesario evaluar los atributos de

capacidad asociados a cada nivel mediante el uso de fuentes de evidencias ya sean de realización del proceso

(relacionada con el objetivo del proceso definido en el modelo de referencia de procesos) o de la capacidad del

proceso (relacionada con las practicas base propuestas en el modelo de evaluación).

En este punto, se decidió realizar una evaluación del nivel de capacidad uno a los procesos seleccionados

anteriormente. Por lo tanto, era necesario evaluar el atributo de capacidad asociado a este nivel: Desempeño

del proceso. La evaluación se basó en el cumplimiento del propósito del proceso, las prácticas base y los

productos de trabajo generados por el proceso. Después de realizar la evaluación, los resultados fueron los

mostrados en la tabla 3.

447

Procesos Calificación

APO01 Gestionar el Marco de Gestión de

TI

P

APO02 Gestionar la Estrategia P

APO03 Gestionar la Arquitectura

Empresarial

N

APO04 Gestionar la Innovación N

APO05 Gestionar Portafolio P

APO07 Gestionar los Recursos Humanos P

APO08 Gestionar las Relaciones P

APO09 Gestionar los Acuerdos de Servicio L

APO10 Gestionar los Proveedores P

APO11 Gestionar la Calidad P

APO12 Gestionar el Riesgo P

APO13 Gestionar la Seguridad P

Tabla 3. Resultado de evaluación de capacidad de nivel 1

Tal como se puede observar, la mayoría de los procesos obtuvieron una calificación P-parcialmente alcanzado

o inferior a excepción de uno. Por lo que, su nivel de capacidad sería 0-Incompleto, ya que para decir que un

proceso tiene un nivel de capacidad determinado, en este caso de nivel uno, debe obtener al menos una

calificación L-ampliamente alcanzado en la evaluación.

En la tercera fase, se determinó junto a la gerencia el nivel de capacidad deseado para los procesos evaluados,

el cual fue el nivel 1-ejecutado. Una que se tuvo definido el nivel de capacidad actual y el deseado, se realizó

un análisis de brechas con el fin de identificar las posibles mejoras que ayudasen a lograr alcanzar el nivel de

capacidad objetivo.

448

Las posibles mejoras se basaban en la adopción de algunas prácticas base que no se realizaban en la

organización, lo que involucraba el diseño o rediseño de los procesos, creación de roles, políticas y plantillas

de productos de trabajo.

En la fase cuatro, se realizó una evaluación para priorizar y seleccionar las mejoras propuestas. Dicha

evaluación se basó en la dificultad de la implementación (el tiempo estimado, la capacidad de conocimiento

necesaria) y los beneficios post-implementación.

En este caso, se escogieron las mejoras relacionadas al proceso Gestionar el marco de gestión de TI, pues las

prácticas base asociadas a este proceso no involucraban gran conocimiento técnico ni tampoco un periodo de

implementación largo y al ser un proceso que alimentaba a otros, su mejora iba a repercutir no solo en el

mismo sino también en otros procesos que utilizaban los productos de trabajo que este generase. Además,

muchos de los puntos débiles identificados al inicio de la implementación eran resueltos mediante la mejora de

dicho proceso.

En la fase cinco, se realizó la implementación del proceso, es decir, se realizaron las actividades necesarias

para establecer las prácticas claves del proceso en la empresa, así como, la ejecución de un plan del cambio

para mitigar posibles escenarios desfavorables a la implementación. En la siguiente tabla, se muestran las

prácticas claves del proceso.

449

Prácticas claves a implementar

Definir la estructura organizativa

Establecer roles y responsabilidades

Mantener los elementos catalizadores del sistema de gestión

Comunicar los objetivos y la dirección de gestión

Gestionar la mejora continua de los procesos

Mantener el cumplimiento con las políticas y procedimientos

Tabla 4. Prácticas clave a implementar

La implementación de estas prácticas involucró la creación de nuevos roles y responsabilidades propias del

proceso, las cuales se formalizaron mediante la actualización de los documentos MOF y ROF de la empresa.

Además, para minimizar la resistencia al cambio por parte del personal, se definieron plantillas de los

productos de trabajo generados por el proceso, ya que estas reducen los errores y el esfuerzo en la elaboración

de los productos de trabajo.

En la fase seis, se tuvo que supervisar el desempeño del proceso implementado mediante el uso de indicadores.

Para lo cual, se definió un objetivo para cada métrica, así como, las medidas iníciales para las mismas y cada

cierto periodo de tiempo, se recopiló la nueva información de las métricas para compararlas con los objetivos

definidos en un inicio. De esta manera, se pudo identificar algunas variaciones y tomar acciones correctivas en

el caso que los resultados no eran los esperados. Para realizar un control de las métricas de manera cómoda, se

crearon cuadros de control que mostraban el estado de los siguientes indicadores de la tabla 5.

Indicadores

Porcentaje de políticas documentadas y actualizadas

Porcentaje del personal que comprenden las políticas

Porcentaje de procesos documentados y actualizados

450

Número de incidentes por incumplimiento de políticas

Frecuencia de revisión y actualización de las políticas

Porcentaje de partes interesadas que comprenden las políticas

Frecuencia de evaluaciones de mejora continua

Tabla 5. Indicadores del proceso Gestionar el marco de gestión de TI

Validación

En la última fase, se revisó la efectividad de la implementación mediante una segunda evaluación de la

capacidad de nivel uno para el proceso implementado, cuyo resultado se muestra en la tabla 6.

Evaluación de capacidad de nivel 1

del proceso Gestionar el marco de gestión de TI

Cumplimiento del objetivos 100%

Ejecución de prácticas base 81.83%

Uso de productos de trabajo 78.57%

Resultado de evaluación 86.80% = F-completamente alcanzado

Tabla 6. Evaluación de capacidad de nivel 1 del proceso Gestionar el marco de gestión de TI

Se puede observar del cuadro anterior que se logró mejorar la calificación del proceso de P-parcialmente

alcanzado a F-completamente alcanzado. Por lo que, se puede decir que la implementación del proceso fue

satisfactoria.

Conclusiones

451

COBIT 5 es un marco que integra las mejores prácticas planteadas por otros marcos de trabajo, estándares o

normas internacionales más usadas en la actualidad. Por lo que, la implementación de futuros proyectos

basadas en estas serán totalmente compatibles con el proceso implementado.

Al realizar la segunda evaluación de capacidad del proceso Gestionar el marco de gestión de TI, se obtuvo una

calificación F-Completamente alcanzado, con lo que dicho proceso logra tener un nivel 1 de capacidad. Por lo

tanto, se puede decir que la implementación fue exitosa.

El apoyo y concientización de la dirección ejecutiva desde un inicio del proyecto fue un factor importante para

el éxito del mismo, ya que cada vez que se presentaba un inconveniente, se resolvía de manera rápida porque

se tenía mapeado a todos los responsables y partes interesadas.

452

Referencias

[1] A. Fernández, Modelo de Gobierno de las TI para Universidades (GTI4U),

http://www.gti4u.es/pdf/capitulo10-gobierno-de-las-ti-para-universidades-gti4u.pdf, Mayo 2014.

A. Mera, Diseño del modelo de gestión de seguridad de la información del sistema ERP de EP Petroecuador de

acuerdo a norma ISO/IEC 27002 y COBIT 5, http://repositorio.espe.edu.ec/handle/21000/8073, Mayo 2014.

A. Rubio, Modelo de Procesos de Gobernanza y Gestión de TI –MPI-GTI, Universidad Politécnica de Madrid,

2012.

I.L. Muñoz, G. Ulloa, Gobierno de TI Estado del arte,

http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf, Mayo 2014.

Information Systems Audit And Control Association (ISACA), COBIT5 Un Marco de Negocio para el

Gobierno y la Gestión de las TI dela Empresa, 2012.

Information Systems Audit and Control Association (ISACA) COBIT5, Process Enablers. Rolling Meadows:

ISACA, 2012.

Information Systems Audit and Control Association (ISACA) COBIT5, COBIT 5 for Information Security.

Rolling Meadows: ISACA, 2012.

Information Systems Audit and Control Association (ISACA) COBIT5, Implementation. Rolling Meadows:

ISACA, 2012.

Information Systems Audit and Control Association (ISACA), Process Assessment Model (PAM): Using

COBIT 5, 2012.

Information Technology Infrastructure Library (ITIL), Página web oficial de ITIL que contiene información

acerca del marco de trabajo, Mayo 2014

International Organization for Standardization (ISO), Página web oficial de la ISO que contiene información

acerca de los estándares internacionales, Mayo 2014

J. Carrillo, A.P. Rubio, Modelo de Procesos Integrado de Gobernanza y Gestión de TI, Revista Aemes, vol. 9,

No 1, 29-45.

J. Saavedra, A. Torres, Modelo de Gobierno de TI como apoyo al proceso de transformación digital en

empresas de la industria editorial, http://hdl.handle.net/10906/70808, Mayo 2014.

L.Y. Chavarro, N. Hoyos, Y. Muriel, Gobierno de ti en Pymes: caso empresas privadas de seguridad en

Bogotá, http://repository.ucatolica.edu.co:8080/jspui/handle/10983/1323, Mayo 2014.

453

M.H. Correa, Modelo y guía para la implementación de Gobierno de TI en Entidades Bancarias de Colombia,

http://bibliotecadigital.icesi.edu.co/biblioteca_digital/handle/10906/70666, Mayo 2014.

M.E. Correa, B.A. Parra, Modelo y guía para la implementación de Gobierno de TI en Entidades Bancarias de

Colombia, http://hdl.handle.net/10906/70666, Mayo 2014.

454

ANEXO 13: Poster y Brief

455

La gestión de la información es muy importante en la actualidad, en un ambiente de

competitividad empresarial es vital para realizar una correcta toma de decisiones mediante el

uso adecuado de la tecnología de información. El modelo a implementar proporciona un

marco integral que ayuda a IT-Expert a lograr sus objetivos y entregar valor mediante un

gobierno efectivo de TI. Asimismo, se logra una apropiada arquitectura que permite que la

tecnología de información se relacione con el gobierno empresarial y que se administre

alineando los objetivos de TI a los objetivos del negocio.

Para esto, el modelo a implementar estará basado en los principios de COBIT 5, el marco de

referencia integrado que está alineado con los últimos marcos y normas más relevantes y

usadas por las organizaciones actualmente.