universidad autÓnoma “gabriel renÉ moreno” · del departamento de ti de la empresa granos...
TRANSCRIPT
UNIVERSIDAD AUTÓNOMA “GABRIEL RENÉ MORENO”
FACULTAD DE INGENIERÍA EN CIENCIAS DE LA
COMPUTACIÓN Y TELECOMUNICACIONES
“UAGRM SCHOOL OF ENGINEERING”
MAESTRÍA EN AUDITORÍA Y SEGURIDAD INFORMÁTICA
“DISEÑO DE UN MANUAL DE BUENAS PRÁCTICAS PARA LA MEJORA DE PROCESOS DE TECNOLOGÍA DE INFORMACIÓN
DEL DEPARTAMENTO DE TI DE LA EMPRESA GRANOS UTILIZANDO EL MARCO REFERENCIAL PROPUESTO POR
COBIT 5.0”
TRABAJO FINAL DE GRADO BAJO LA MODALIDAD DE TESIS PARA OPTAR AL TÍTULO DE MAESTRO EN CIENCIAS
AUTOR:
Ing. Julio César Becerra Lino
DIRECTOR DE TRABAJO FINAL DE GRADO: M.Sc. Ing. Miguel Peinado Pereira
SANTA CRUZ – BOLIVIA
SEPTIEMBRE - 2017
AGRADECIMIENTO
A Dios, por darme las fuerzas para seguir adelante, a mi
tutor, el Ing. Miguel Peinado, por su apoyo, consejos y
colaboración para que se haga realidad este trabajo y
especialmente a mi familia por todo su amor y apoyo
incondicional.
DEDICATORIA
Este trabajo que es producto de un gran esfuerzo de varios
meses, se lo dedico a mi querida Familia, a mi esposa
Tesoro y a mis hijos: Ariane, Julito e Ian.
RESUMEN
Este proyecto tiene como principal objetivo el diseño de un manual de mejora
de procesos de Tecnologías de Información (TI) para la empresa agroindustrial
Granos, a través de la aplicación del Marco de referencia COBIT en su versión
5.0; que es una guía de mejores prácticas avalada por la Asociación de Control
y Auditoría de Sistemas de Información (ISACA), esta es una asociación
internacional que apoya y patrocina el desarrollo de metodologías y
certificaciones para la realización de actividades de auditoría y control en
sistemas de información.
El proyecto empieza con la realización de la Cascada de Metas de COBIT 5,
que es un mecanismo para traducir las necesidades u objetivos de las partes
interesadas (empresa Granos) en metas corporativas y metas de TI practicables
y personalizables. Una vez identificadas y priorizadas las metas corporativas del
negocio y las metas de TI propuestas por COBIT 5, se procede a determinar y
priorizar los 37 procesos propuestos por COBIT respecto a las metas de TI
anteriormente priorizadas, para luego así poder obtener los procesos relevantes
y priorizados del departamento de TI. Seguidamente se inicia la evaluación del
grado de madurez de los procesos relevantes del departamento de TI, pero en
esta oportunidad se hizo la evaluación del grado de madurez a los 37 procesos
en su totalidad, para así tener una evaluación mucho más amplia de los
procesos del departamento de TI.
Con estos resultados se definen los requerimientos de mejora para proceder
con el diseño del manual, y así crear las guías y procedimientos que permitan:
Definir, administrar y monitorear cada proceso, con la finalidad de incrementar
la madurez de los mismos.
Finalmente se realiza una aplicación práctica del manual a través del rediseño
de dos procesos de TI relevantes. El proyecto ha demostrado que un manual
para la mejora de procesos de TI basado en COBIT, es una herramienta
poderosa para garantizar una gestión y administración efectiva de las
tecnologías de Información en la agroindustria.
TABLA DE CONTENIDO
INTRODUCCIÓN ........................................................................................................................... 1
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA ..................................................................... 3
1.1 FORMULACIÓN DEL PROBLEMA ............................................................................... 5
1.2 OBJETIVOS ................................................................................................................... 6
1.2.1 OBJETIVO GENERAL .................................................................................................. 6
1.2.2 OBJETIVOS ESPECÍFICOS ......................................................................................... 6
1.3 JUSTIFICACIÓN ............................................................................................................ 7
CAPÍTULO II: MARCO TEÓRICO ................................................................................................. 9
2.1 ESTUDIO DEL MARCO DE REFERENCIA COBIT 5.0 ...................................................... 9
2.1.1 INTRODUCCIÓN .......................................................................................................... 9
2.1.2 GENERALIDADES ...................................................................................................... 10
2.1.3 PRINCIPIOS COBIT ................................................................................................... 11
2.1.4 METAS DE COBIT 5 ................................................................................................... 15
2.1.5 HISTORIA DE COBIT ................................................................................................. 25
2.1.2 DOMINIOS DE COBIT 5 ............................................................................................. 26
2.1.2.1 EVALUAR, ORIENTAR y SUPERVISAR (EDM) ................................................. 28
2.1.2.2 ALINEAR, PLANIFICAR y ORGANIZAR (APO) .................................................. 29
2.1.2.3 CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) ............................................ 29
2.1.2.4 ENTREGA, SERVICIO Y SOPORTE (DSS)........................................................ 30
2.1.2.5 SUPERVISAR, EVALUAR Y VALORAR (MEA) ................................................. 30
2.1.3 MODELO DE CAPACIDAD DE LOS PROCESOS DE COBIT 5 ................................ 30
2.1.4 EVALUACIONES DE CAPACIDAD DE PROCESOS EN COBIT .............................. 33
2.1.4.1 REGLA CLAVE .................................................................................................... 34
2.1.4.2 MAPEO DETALLADO DE LAS METAS RELACIONADAS CON LAS TI Y LOS
PROCESOS RELACIONADOS CON LAS TI .................................................................. 34
CAPÍTULO III: MARCO METODOLÓGICO ................................................................................. 36
3.1 TIPIFICACIÓN DE LA INVESTIGACIÓN ........................................................................... 36
3.2 HIPÓTESIS DEL TRABAJO .............................................................................................. 36
3.3 MÉTODOS, TÉCNICAS E INSTRUMENTOS DE INVESTIGACIÓN ................................ 37
CAPÍTULO IV: ESTADO ACTUAL DEL DEPARTAMENTO DE TI ............................................. 39
4.1 DESCRIPCIÓN DE LA ORGANIZACIÓN .................................................................... 39
4.1.1 ANTECEDENTES Y ACTIVIDADES .................................................................... 39
4.1.2 VISIÓN ................................................................................................................. 40
4.1.3 MISIÓN ................................................................................................................. 40
4.1.4 POLÍTICAS DE LA EMPRESA ............................................................................ 41
4.1.5 ESTRUCTURA ORGANIZACIONAL ................................................................... 42
4.1.6 PRINCIPALES PROCESOS DEL NEGOCIO ...................................................... 43
4.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI ................................................. 46
4.2.1 PRINCIPIOS, POLÍTICAS Y MARCOS DE REFERENCIA ................................. 46
4.2.2 ESTRUCTURA ORGANIZATIVA ......................................................................... 47
4.2.3 PERSONAS, HABILIDADES Y COMPETENCIAS .............................................. 49
4.2.4 PROCESOS ......................................................................................................... 50
4.2.4.1 PROCESOS DE LA JEFATURA DE TI ........................................................ 50
4.2.4.2 PROCESOS DE LOS SERVICIOS DE RED Y TELECOMUNICACIONES 51
4.2.4.3 PROCESOS DE SERVICIOS DE DESARROLLO Y SOPORTE A
APLICACIONES ............................................................................................................... 53
4.2.4.4 PROCESOS DE SERVICIOS DE SOPORTE HELP DESK ........................ 54
4.2.5 PRINCIPALES PROCEDIMIENTOS DE TI ......................................................... 56
4.2.6 CULTURA, ÉTICA Y COMPORTAMIENTO ........................................................ 57
4.2.7 INFORMACIÓN .................................................................................................... 57
4.2.8 SERVICIOS, INFRAESTRUCTURA Y APLICACIONES ..................................... 58
4.2.8.1 SERVICIOS POR DEMANDA ...................................................................... 58
4.2.8.2 ENTREGA DE SERVICIOS ESTÁNDARES ................................................ 59
CAPÍTULO V: CASCADA DE METAS Y GRADO DE MADUREZ DEL DEPARTAMENTO DE TI
..................................................................................................................................................... 60
5.1 METODOLOGÍA DE EVALUACIÓN .................................................................................. 60
5.1.1 OBSERVACIÒN .......................................................................................................... 60
5.1.2 ENCUESTAS .............................................................................................................. 61
5.1.3 ENTREVISTAS ........................................................................................................... 61
5.1.4 IDENTIFICACIÓN DE LA MUESTRA ......................................................................... 62
5.1.5 MÉTODO SELECCIONADO ....................................................................................... 63
5.1.6 DEFINICIÓN DE VARIABLES .................................................................................... 64
5.1.7 CATEGORIZACIÓN DEL GRADO DE MADUREZ COMO VARIABLE ..................... 65
5.2 CASCADA DE METAS ...................................................................................................... 66
5.2.1 CONOCER LOS OBJETIVOS DE LA EMPRESA ...................................................... 67
5.2.2 PRIORIZAR METAS DEL NEGOCIO ......................................................................... 68
5.2.3 PRIORIZAR METAS DE TI ......................................................................................... 72
5.2.4 PRIORIZAR LOS PROCESOS DEL NEGOCIO PROPUESTO POR COBIT ............ 76
5.2.5 CONCLUSIONES Y RECOMENDACIONES DEL ANÁLISIS DE CASCADA DE
METAS. ................................................................................................................................ 80
5.3 EVALUACIÓN DEL GRADO DE MADUREZ DE PROCESOS DE TI ............................... 81
5.3.1 DEFINICIÓN DE INDICADORES DE ÉXITO PARA LOS DOMINIOS DE COBIT 5.081
5.3.2 DETERMINACIÓN DE LOS NIVELES DE MADUREZ PARA CADA PROCESO
DE LOS DOMINIOS DE COBIT 5.0 ..................................................................................... 82
5.3.3 DETERMINACIÓN DE BRECHAS PARA CADA ACTIVIDAD DE LOS PROCESOS
DE COBIT 5.0 ...................................................................................................................... 83
5.4.3 DETERMINACIÓN DE NIVELES DE MADUREZ Y BRECHAS EXISTENTES EN
EL DEPARTAMENTO DE TI ................................................................................................ 85
5.4.3.1 GOBIERNO: EVALUAR, ORIENTAR Y SUPERVISAR................................... 85
5.4.3.2 DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR ....................................... 87
5.4.3.3 DOMINIO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR ................................ 94
5.4.3.4 DOMINIO: ENTREGAR, DAR SERVICIO Y SOPORTE ............................... 100
5.4.3.5 DOMINIO: SUPERVISAR, EVALUAR Y VALORAR ..................................... 104
5.4.4 RESULTADOS OBTENIDOS DEL ANÁLISIS DEL NIVEL DE MADUREZ EN EL
DEPARTAMENTO DE TI ................................................................................................... 106
5.4.5 CONCLUSIONES Y RECOMENDACIONES SOBRE LOS RESULTADOS
OBTENIDOS DEL ANÁLISIS DEL NIVEL DE MADUREZ EN EL DEPARTAMENTO DE TI
........................................................................................................................................... 110
CAPÍTULO VI: DISEÑO DEL MANUAL DE MEJORA DE PROCESOS ................................... 111
6.1 DEFINICIÓN DE REQUERIMIENTOS DE MEJORA DE PROCESOS CON COBIT 111
6.1.1 IDENTIFICACIÓN Y DOCUMENTACIÓN ......................................................... 112
6.1.2 EVALUACIÓN Y CUMPLIMIENTO .................................................................... 114
6.2 DISEÑO DEL MANUAL ............................................................................................. 115
6.2.1 ESTRUCTURA DEL MANUAL ........................................................................... 115
6.2.2 DEFINICIÓN DEL PROCESO ........................................................................... 116
6.2.2.1 DEFINICIÓN ................................................................................................... 120
6.2.2.2 DIAGRAMA DE FLUJO .................................................................................. 124
6.2.2.3 INVENTARIO DE ACTIVIDADES .................................................................. 126
6.2.3 EVALUACIÓN DEL PROCESO ......................................................................... 128
6.2.3.1 MÉTRICAS RELACIONADAS A LAS METAS DE TI ........................................ 131
6.2.3.2 MÉTRICAS RELACIONADAS A LAS METAS DEL PROCESO ....................... 133
6.2.4 CUMPLIMIENTO DEL PROCESO ..................................................................... 135
CAPITULO VII: APLICACIÓN PRÁCTICA DEL MANUAL PARA PROCESOS RELEVANTES EN
EL DEPARTAMENTO DE TI DE LA ORGANIZACIÓN ............................................................. 141
7.1 PROCESO: BAI01-GESTIONAR LOS PROGRAMAS Y PROYECTOS ......................... 142
7.1.1 DEFINICIÓN DEL PROCESO BAI01 ....................................................................... 142
7.1.1.1 DEFINICIÓN ...................................................................................................... 142
7.1.1.2 DIAGRAMA DE FLUJO...................................................................................... 143
7.1.1.3 INVENTARIO DE ACTIVIDADES ...................................................................... 144
7.1.2 EVALUACIÓN DEL PROCESO BAI01 ..................................................................... 150
7.1.2.1 MÉTRICAS RELACIONADAS A LAS METAS DE TI ........................................ 150
7.1.2.2 MÉTRICAS RELACIONADAS A LAS METAS DEL PROCESO ....................... 152
7.1.3 CUMPLIMIENTO DEL PROCESO BAI01 ................................................................. 154
7.2 PROCESO: DSS02- GESTIONAR LAS PETICIONES Y LOS INCIDENTES DEL
SERVICIO .............................................................................................................................. 156
7.2.1 DEFINICIÓN DEL PROCESO DSS02 ...................................................................... 156
7.2.1.1 DEFINICIÓN ...................................................................................................... 156
7.2.1.2 DIAGRAMA DE FLUJO...................................................................................... 157
7.2.1.3 INVENTARIO DE ACTIVIDADES ...................................................................... 158
7.2.2 EVALUACIÓN DEL PROCESO DSS02 ................................................................... 161
7.2.2.1 MÉTRICAS RELACIONADAS A LAS METAS DE TI ........................................ 161
7.2.2.1 MÉTRICAS RELACIONADAS A LAS METAS DEL PROCESO ....................... 162
7.2.3 CUMPLIMIENTO DEL PROCESO DSS02 ............................................................... 163
CAPÍTULO VIII: EVALUACIÓN DE RESULTADOS .................................................................. 164
CAPÍTULO IX: CONCLUSIONES Y RECOMENDACIONES .................................................... 167
9.1 CONCLUSIONES ...................................................................................................... 167
9.2 RECOMENDACIONES .............................................................................................. 168
BIBLIOGRAFIAS ........................................................................................................................ 169
GLOSARIO DE TÉRMINOS ...................................................................................................... 170
ANEXOS .................................................................................................................................... 177
ÍNDICE DE FIGURAS
Figura N° 1: Principios de Cobit 5.0 ...................................................................................... 11
Figura N° 2: El Objetivo de Gobierno: Creación de Valor ................................................. 12
Figura N° 3: Catalizadores Corporativos Cobit 5 ................................................................ 14
Figura N° 4: Metas Corporativas de Cobit 5 ........................................................................ 16
Figura N° 5: Métricas de Metas Corporativas ...................................................................... 19
Figura N° 6: Metas relacionadas con las TI ......................................................................... 20
Figura N° 7: Métricas de Metas TI ......................................................................................... 23
Figura N° 8: Mapeo entre las Metas Corporativas y Relacionadas con TI ..................... 24
Figura N° 9: Evolución de Cobit ............................................................................................. 25
Figura N° 10: Las Áreas Clave de Gobierno y Gestión de Cobit 5 .................................. 27
Figura N° 11: Modelo de Referencia de Procesos de Cobit 5 .......................................... 28
Figura N° 12: Atributos Genéricos de Capacidad de Procesos ........................................ 31
Figura N° 13: Mapeo entre las metas relacionadas con las TI de Cobit 5 y los procesos
..................................................................................................................................................... 35
Figura N° 14: Organigrama de la empresa GRANOS ........................................................ 42
Figura N° 15: Flujograma de producción de la planta industrial ....................................... 43
Figura N° 16: Ubicación del departamento de TI en la organización .............................. 47
Figura N° 17: Esquema organizacional del departamento de TI ...................................... 48
Figura N° 18: Atributos Genéricos de Capacidad de Procesos ........................................ 64
Figura N° 19: Atributos Genéricos de Capacidad de Procesos ........................................ 82
Figura N° 20: Estructura del Manual ................................................................................... 116
ÍNDICE DE CUADROS
Cuadro N° 1: Procesos de producción ................................................................................. 45
Cuadro N° 2: Personal del departamento de TI .................................................................. 49
Cuadro N° 3: Procedimientos relevantes del departamento de TI ................................... 56
Cuadro N° 4: Objetivos empresariales de Granos .............................................................. 67
Cuadro N° 5: Metas corporativas .......................................................................................... 67
Cuadro N° 6: Metas de negocios de Granos vs Metas corporativas de COBIT 5 ......... 71
Cuadro N° 7: Metas de negocios, Objetivos Empresariales Granos ............................... 72
Cuadro N° 8: Metas corporativas COBIT 5 vs Metas de TI COBIT 5 .............................. 74
Cuadro N° 9: Metas de TI Relevantes .................................................................................. 75
Cuadro N° 10: Priorización de procesos acorde a las metas de TI relevantes .............. 78
Cuadro N° 11: Procesos priorizados acorde a las metas de TI relevantes .................... 79
Cuadro N° 12: Criterios de evaluación y determinación de brechas ............................... 84
Cuadro N° 13: Resultado del nivel de madurez ................................................................ 107
Cuadro N° 14: Resultado de la evaluación de los 37 Procesos de COBIT .................. 107
Cuadro N° 15: Procedimientos relevante del Departamento de TI vs. El Nivel de
madurez de los procesos analizados ................................................................................... 109
Cuadro N° 16: Instructivo de llenado del Formulario Nro. 1 ............................................ 120
Cuadro N° 17: Instructivo de llenado del Formulario Nro. 2 ............................................ 122
Cuadro N° 18: Simbología del diagrama de flujo .............................................................. 124
Cuadro N° 19: Instructivo de llenado del Formulario Nro. 3 ............................................ 125
Cuadro N° 20: Instructivo de llenado del Formulario Nro. 4 ............................................ 127
Cuadro N° 21: Instructivo de llenado del Formulario Nro. 5 ............................................ 132
Cuadro N° 22: Instructivo de llenado del Formulario Nro. 6 ............................................ 134
Cuadro N° 23: Instructivo de llenado del Formulario Nro. 7 ............................................ 140
ÍNDICE DE FORMULARIOS DE PROCEDIMIENTOS
Formulario de Procedimiento N° 1: Definición del Proceso ......................................... 118
Formulario de Procedimiento N° 2: Diagrama de Flujo de la Definición del Proceso
................................................................................................................................................... 119
Formulario de Procedimiento N° 3: Evaluación del Proceso ....................................... 129
Formulario de Procedimiento N° 4: Diagrama de Flujo de la Evaluación del Proceso
................................................................................................................................................... 130
Formulario de Procedimiento N° 5: Cumplimiento del Proceso .................................. 136
Formulario de Procedimiento N° 6: Diagrama de Flujo del Cumplimiento del Proceso
................................................................................................................................................... 137
ÍNDICE DE FORMULARIOS
Formulario N° 1: Solicitud de Mejora de Proceso ............................................................ 120
Formulario N° 2: Definición de procesos ........................................................................... 121
Formulario N° 3: Diagrama de Flujo ................................................................................... 125
Formulario N° 4: Inventario de Actividades ....................................................................... 126
Formulario N° 5: Evaluación de Proceso (Métricas relacionada a la metas de TI) .... 131
Formulario N° 6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso)
................................................................................................................................................... 133
Formulario N° 7: Cumplimiento del proceso ..................................................................... 138
ÍNDICE DE FORMULARIOS DE CASO DE USO
Formulario Caso de Uso N° 1: Definición del Proceso BAI01 ...................................... 142
Formulario Caso de Uso N° 2: Diagrama de Flujo del Proceso BAI01 ....................... 143
Formulario Caso de Uso N° 3: Inventario de Actividades del Proceso BAI01 ........... 149
Formulario Caso de Uso N° 4: Evaluación del Proceso (Métricas relacionada a las
metas de TI) para el Proceso BAI01 .................................................................................... 151
Formulario Caso de Uso N° 5: Evaluación del Proceso (Métricas relacionada a las
metas de Proceso) para el Proceso BAI01 ......................................................................... 153
Formulario Caso de Uso N° 6: Cumplimiento del BAI01 ............................................... 155
Formulario Caso de Uso N° 7: Definición del Proceso DSS02 ..................................... 156
Formulario Caso de Uso N° 8: Diagrama de flujo del Proceso DSS02 ....................... 157
Formulario Caso de Uso N° 9: Inventario de Actividades del Proceso DSS02 .......... 160
Formulario Caso de Uso N° 10 : Evaluación del Proceso (Métricas relacionada a las
metas de TI) para el Proceso DSS02 .................................................................................. 161
Formulario Caso de Uso N° 11: Evaluación del Proceso (Métricas relacionada a las
metas de Proceso) para el Proceso DSS02 ....................................................................... 162
Formulario Caso de Uso N° 12: Cumplimiento del Proceso DSS02............................ 163
1 Ing. Julio César Becerra Lino
INTRODUCCIÓN
En la actualidad los procesos de Tecnologías de Información (TI) se han
convertido en un factor muy importante y estratégico para que las
organizaciones puedan alcanzar sus logros y objetivos propuestos, por este
motivo el objetivo de este proyecto es el diseño de un manual de buenas
prácticas para la mejora de los procesos de tecnología de información (TI) de
una empresa agroindustrial, utilizando una guía de mejores prácticas conocida
como COBIT en su versión 5.0, la cual es un conjunto de normas, técnicas y
buenas prácticas para poder hacer una verificación y validación de los recursos
de TI con que cuenta una organización y así poder dar una seguridad razonable
de que los controles existentes están cumpliendo a cabalidad y así mismo,
contribuir al logro de la misión y visión de la empresa.
COBIT, es un marco referencial creado por ISACA (Asociación de Control y
Auditoría de Sistemas de Información), el cual está compuesto por cinco
dominios, uno de Gobierno y 4 de Gestión (“Evaluar, Orientar y Supervisar”,
“Alinear, Planificar y Organizar”, “Construir, Adquirir e Implementar”, “Entregar,
dar Servicio y Soporte” y “Supervisar, Evaluar y Valorar”), que explican cómo
los procesos de TI entregan la información para que el negocio pueda alcanzar
sus objetivos. Esta entrega es controlada por 37 procesos agrupados en cinco
dominios.
Inicialmente se busca identificar los actuales servicios del departamento de TI,
su estructura organizacional, las funcionalidades, procesos y procedimientos
existentes, para luego identificar y priorizar las metas corporativas del negocio,
las metas de TI y procesos relevantes de TI, esto se logra aplicando la Cascada
de Metas propuesta por COBIT 5.0, seguidamente se busca evaluar
cuantitativamente el estado actual en el que se encuentra los grados de
madurez de los procesos más relevantes del departamento de TI de la empresa
agroindustrial, en base a los parámetros de medición propuestos por COBIT
5.0.
2 Ing. Julio César Becerra Lino
Luego se procederá a diseñar el manual de buenas prácticas para mejorar los
procesos de TI, siempre enmarcado en las referencias de COBIT 5.0, para
incrementar el grado de madurez de los procesos relevantes y de esta manera
estos puedan ser: Definidos, administrados y medidos.
Como resultado se obtienen un conjunto de documentos, los cuales servirán de
apoyo para mejorar y gestionar cada proceso de TI.
Finalmente se va a aplicar este manual a algunos procesos para así poder
demostrar su aplicabilidad, evidenciando que en base a una buena definición,
evaluación y cumplimiento, se pueden obtener procesos capaces de ser
administrados, medidos y monitoreados de forma eficiente.
El presente trabajo permitió evidenciar que un manual para la mejora de
procesos del departamento de TI basado en el marco de trabajo de COBIT, es
una herramienta muy importante para la reingeniería de procesos de TI, que
aporta de manera significativa a que la Jefatura de TI tenga control sobre las
actividades, y recursos de las tecnologías de la información (TI) y de esta
manera ofrecer servicios de alta calidad que apoye en forma estratégica a los
objetivos del negocio y defina las bases necesarias para implantar en un futuro
las mejores prácticas.
3 Ing. Julio César Becerra Lino
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA
La empresa de servicios agroindustriales “GRANOS” es una de las principales
empresas productoras de Torta de soya y Aceites comestibles, dentro de la
línea de productos que maneja se encuentran:
- Elaboración de aceites y grasas vegetales sin refinar y subproductos.
- Elaboración de aceites y grasas vegetales refinadas y subproductos.
- Preparación de tortas y producción de harinas.
- Preparación y molienda de otros cereales.
La política de calidad de la empresa establece como principales directrices, a la
mejora continua de los procesos, el cumplimiento de los requisitos y la
búsqueda de la satisfacción del cliente.
La empresa cuenta con un departamento de Tecnologías de la Información (TI),
el cual es el responsable de brindar, mantener y asegurar los servicios de
comunicaciones y tecnología de información de manera eficiente para poder
contribuir a los objetivos de la organización.
Actualmente el departamento de TI cuenta con 5 personas.
A pesar de que un alto porcentaje de los procesos del departamento de TI se
los realiza de forma ordenada, muchos de estos se los lleva a cabo de manera
intuitiva e improvisada. Existe un alto grado de insatisfacción de parte de los
clientes (usuarios de los servicios del departamento de TI), porque el
departamento de TI tiene muchos inconvenientes en la entrega de los servicios
que presta, demora mucho tiempo en brindar una solución a un problema o
simplemente estos resultan muy costosos para la organización, así mismo en
contraposición, los proyectos que son terminados a tiempo, un gran porcentaje
no llegan a satisfacer completamente las necesidades de los usuarios, ya que
estos no están bien dimensionados, lo que lleva a tomar mucho tiempo en su
4 Ing. Julio César Becerra Lino
desarrollo e implementación. La adquisición y compra de equipos toma más
tiempo de lo esperado y los integrantes del departamento de TI se encuentran
saturados de trabajo lo que hace casi imposible poder dar un soporte y servicio
de calidad a los usuarios, peor aún hacer seguimiento o ejecutar nuevos
proyectos.
La empresa tiene centros de acopio en diferentes comunidades rurales donde
también se cuenta con equipos de computación y usuarios, aunque estos
centros funcionan 2 veces al año por un periodo entre 4 y 5 meses de igual
manera los usuarios se encuentran muy insatisfechos ya que el soporte y la
ayuda demora mucho tiempo en llegar.
Existen aplicaciones de proveedores externos y sobre estas hay descontento
generalizado de parte de los usuarios ya que cuando ocurre un problema o
necesitan de alguna nueva funcionalidad, esto demora mucho, lo cual repercute
directamente en el trabajo diario. Actualmente tampoco es posible medir los
niveles de efectividad, eficiencia de los procesos y servicios que brinda el
departamento de TI.
Estos efectos posiblemente se deben a que no existe una definición formal de
los procesos y procedimientos, no existe documentación de las actividades que
conlleva cada uno de estos procesos y procedimientos lo cual hace imposible
hacer seguimiento y medir el grado de eficiencia, eficacia y madurez de los
mismos.
Si no se hace un cambio y se mejoran estos procesos y procedimientos el nivel
y grado de descontento por parte de los usuarios podría aumentar y para
subsanar esto se necesitaría incrementar mayor personal para que se dedique
al soporte y al desarrollo e implementación de nuevos proyectos, lo cual
incrementaría exponencialmente los costos del departamento de TI.
En consecuencia, el departamento de TI necesita un mayor control en los
procesos que están inmersos en los cinco dominios que plantea como
referencia COBIT en su versión 5.0.
5 Ing. Julio César Becerra Lino
Para identificar cuáles de los procesos y procedimientos están causando algún
grado de insatisfacción por parte de los usuarios, es necesario medirlos de
forma efectiva y así verificar que estos están cumpliendo o incumpliendo su
función.
Con un manual de buenas prácticas para mejorar los niveles de madurez de los
procesos del departamento de TI, se buscará definir las actividades necesarias
para mejorar los procesos con el objetivo de brindar un servicio de calidad y
optimizar la inversión en los recursos de TI.
1.1 FORMULACIÓN DEL PROBLEMA
¿Cómo se puede mejorar los procesos de Tecnología de Información del
departamento de TI de la empresa GRANOS, para incrementar los niveles de
madurez de los mismos y mejorar los niveles de calidad de los servicios que
brinda?
6 Ing. Julio César Becerra Lino
1.2 OBJETIVOS
1.2.1 OBJETIVO GENERAL
Diseñar un manual de buenas prácticas que defina los lineamientos y
actividades necesarias para mejorar los niveles de madurez de los procesos
de Tecnología de Información del departamento de TI de la empresa
GRANOS, utilizando como referencia el marco referencial de COBIT 5.
1.2.2 OBJETIVOS ESPECÍFICOS
- Identificar y priorizar la metas corporativas del negocio y las metas
del departamento de TI de la empresa Granos, para así identificar
y priorizar los procesos relevantes del departamento de TI
relacionados a las metas de TI priorizadas.
- Realizar una evaluación del grado de madurez de los procesos del
departamento de TI de la empresa Granos, determinando e
identificando el estado actual de los mismos, relacionados con el
marco referencial de COBIT 5 en sus 5 dominios: “Evaluar,
Orientar y Supervisar”, “Alinear, Planificar y Organizar”, “Construir,
Adquirir e Implementar”, “Entregar, dar Servicio y Soporte” y
“Supervisar, Evaluar y Valorar”
- Diseñar un manual que defina los lineamientos, actividades y
buenas prácticas a seguir para mejorar los procesos de TI,
siempre enmarcado en las referencia de COBIT 5, para
incrementar el grado de madurez de los procesos y así estos
puedan ser definidos, administrados y medidos.
- Realizar una aplicación práctica del manual a través del rediseño
de dos procesos relevantes del departamento de TI.
7 Ing. Julio César Becerra Lino
1.3 JUSTIFICACIÓN
Actualmente existen muchos procesos críticos del negocio que están
estrechamente relacionados con los servicios que brinda el departamento de TI
dentro de una organización, así mismo los servicios que brinda el departamento
de TI están compuestos de procesos previos que se tienen que ejecutar para
que estos servicios puedan estar disponibles para los usuarios y otros procesos
que así lo requieran.
Un alto porcentaje de los procesos de Tecnología de Información del
departamento de TI, no se maneja de forma adecuada, esto causa un bajo nivel
de calidad y conformidad en los servicios que son ofertados, esto puede influir
directamente en el mal manejo de los recursos (datos, sistemas de aplicación,
tecnología, instalaciones y el personal) e incidir directamente en la elevación de
los costos dentro de la organización (existe un mapa mental en el Anexo Nro. 1
de este documento, donde se expone más detalladamente la situación
problemática de la organización).
Para realizar una medición cuantitativa del funcionamiento, cumplimiento y
efectividad de los procesos y el impacto que estos tienen en los recursos que
son aplicados, es necesario utilizar una guía que permita cuantificar cuan
efectiva y eficiente es la ejecución de los mismos.
En este proyecto se estudiará COBIT en su versión 5 como el Marco de
Referencia que permite gestionar los procesos de TI dentro de sus cinco
dominios: “Evaluar, Orientar y Supervisar”, “Alinear, Planificar y Organizar”,
“Construir, Adquirir e Implementar”, “Entregar, dar Servicio y Soporte” y
“Supervisar, Evaluar y Valorar”
COBIT permite cuantificar el grado de madurez de los procesos y ofrece
parámetros adecuados de evaluación de los mismos, además relaciona los
procesos de TI con los objetivos de la organización, relaciona también los
procesos de TI con los recursos de TI (datos, sistemas de aplicaciones,
tecnología, instalaciones y personal).
8 Ing. Julio César Becerra Lino
El objetivo de este trabajo es elaborar un manual de buenas prácticas que sirva
de guía para que puedan definirse formalmente los procesos y la
documentación necesaria donde se detallen las actividades que realizan y estos
puedan ser medidos para cuantificar el grado de madurez y cumplimiento de los
mismos.
A través del mejoramiento de los procesos y el aumento de la calidad de los
servicios que brinda el departamento de TI, se pretende minimizar la
insatisfacción de los usuarios y optimizar el uso de los recursos de TI.
En la medida que las empresas del rubro agroindustrial conozcan experiencias
positivas, las metodologías y procesos existentes en diferentes proyectos y sus
resultados, se genera una mayor apertura y disposición hacia nuevas técnicas,
ideas y tendencias del conocimiento sobre el mejoramiento, evaluación y
monitoreo de los procesos del negocio.
Entonces, para incentivar la incorporación de un manual de mejora de procesos
de tecnologías de información en las diferentes empresas agroindustriales de
nuestro medio, hay que dar a conocer las experiencias exitosas del uso y
aplicación de estas buenas prácticas. De este modo es posible generar
atención respecto del tema y así demostrar las oportunidades y beneficios que
las metodologías y buenas prácticas posibilitan.
9 Ing. Julio César Becerra Lino
CAPÍTULO II: MARCO TEÓRICO
Cuando hablamos de procesos dentro de una organización, tratamos de
identificar cuáles son las actividades que se realizan a diario y que tienen mayor
importancia en el éxito del negocio. Los procesos dentro de una empresa
pueden clasificarse en: Operativos y de apoyo.
Los procesos operativos son aquellos compuestos por actividades operativas
que influyen directamente en el cliente y que son particulares de cada empresa.
Por otro lado, los procesos de apoyo o de infraestructura, son aquellos que
sustentan a los procesos operativos y que por lo general son similares en todas
las empresas.
Las empresas utilizan sus recursos humanos, financieros, materiales y
tecnológicos con la finalidad de contribuir al logro de los objetivos fijados, los
procesos utilizan estos recursos para obtener algo de valor en beneficio de los
logros y objetivos de la organización. Los procesos de Tecnologías de la
Información son un soporte crítico del negocio, ya que proporcionan la
información necesaria para que fluya el negocio. Actualmente gran porcentaje
de los procesos se encuentran sin documentar, sin dueños, sin procedimientos
de medición y control, lo cual trae consigo pobres resultados para el negocio.
2.1 ESTUDIO DEL MARCO DE REFERENCIA COBIT 5.0
2.1.1 INTRODUCCIÓN
Las empresas y organizaciones actualmente dependen cada vez más de la
información y por consecuencia de Tecnologías de Información (TI), dicha
información en la totalidad de los casos representan los activos más
importantes a considerar dependiendo del tipo de negocio.
10 Ing. Julio César Becerra Lino
Es por eso que COBIT 5 brinda un marco de trabajo integro que ayuda a las
organizaciones a lograr sus objetivos basados en la gestión de Gobierno y de
las TI corporativas, creando valores óptimos desde TI, generando beneficios y
optimizando el riesgo y uso de recursos. Adicionalmente COBIT 5 permite una
gestión completa de las TI involucrando a la organización por completo, es decir
permitiendo la interacción de todas las unidades funcionales y considerando sus
intereses relacionados con TI
2.1.2 GENERALIDADES
COBIT es un producto lanzado con el objetivo de administrar el despliegue de
TI en las organizaciones. Conocido en sus siglas en inglés como “Control
Objetives for Information and related Technology”.
El Marco referencial de COBIT, desarrollado por la organización ISACA define a
COBIT como: Un marco de trabajo que establece los controles que pueden
implementarse en una organización y pueden apoyar a implementar el Gobierno
de TI Empresarial integrando diferentes marcos de trabajo, como ITIL o
estándares ISO. Está basado en un dominio para los procesos de gobierno y
cuatro dominios para los procesos de gestión.
Se enfoca más en el “qué” se necesita para cumplir con los controles de
Gobierno de TI Empresarial.
El marco de referencia COBIT 5 basa su metodología en cinco principios claves
para el gobierno y la gestión de las TI a nivel organizacional.
11 Ing. Julio César Becerra Lino
Figura N° 1: Principios de Cobit 5.01
2.1.3 PRINCIPIOS COBIT
Principio 1. Satisfacer las Necesidades de las Partes Interesadas
El marco de referencia COBIT 5 provee todos los procesos y actividades
necesarios para permitir la creación de valor del negocio mediante el uso de TI
y apoyado de herramientas propias del marco de referencia, permitiendo la
consecución de beneficios y reduciendo el riesgo y uso de recursos.
Adicionalmente COBIT 5 permite traducir las metas del negocio a metas
relacionadas con TI, estableciendo actividades y prácticas específicas para
cada uno de los procesos.
1 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 2-Principios de Cobit 5 © 2012 ISACA®
12 Ing. Julio César Becerra Lino
Figura N° 2: El Objetivo de Gobierno: Creación de Valor2
Principio 2: Cubrir la Empresa Extremo-a-Extremo
COBIT 5 permite cubrir la empresa de extremo a extremo, cubriendo todos los
procesos de la empresa, incluyendo todas las áreas funcionales, de TI, personal
interno y externo, todo lo que sea relevante para el gobierno y la gestión de las
TI relacionadas.
La función de TI es considerada como un activo más de la empresa no se
enfoca solo en la función que realiza.
Principio 3: Aplicar un Marco de Referencia único integrado
El marco de referencia Cobit 5.0 aplica un marco de referencia único integrando
estándares, marcos de trabajo y buenas prácticas relacionadas con TI y con la
finalidad de ser un marco principal para el gobierno y gestión de las TI de la
empresa.
2 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 3-El Objetivo de Gobierno: Creación de Valor © 2012
ISACA®
13 Ing. Julio César Becerra Lino
Principio 4: Hacer Posible un Enfoque Holístico
El marco de referencia COBIT 5 define distintas herramientas para apoyar la
implementación de un sistema de gobierno y gestión para las TI de la empresa,
todo esto basado en principios, políticas, marcos de trabajo, procesos,
estructuras organizativas, cultura, ética, comportamiento, información, servicios,
infraestructuras, aplicaciones, personas, habilidades y competencias.
El marco de referencia COBIT 5 describe siete categorías de catalizadores
• Principios, políticas y marcos de referencia son el vehículo para traducir el
comportamiento deseado en guías prácticas para la gestión del día a día.
• Los procesos describen un conjunto organizado de prácticas y actividades
para alcanzar ciertos objetivos y producir un conjunto de resultados que
soporten las metas generales relacionadas con TI.
• Las estructuras organizativas son las entidades de toma de decisiones
clave en una organización.
• La Cultura, ética y comportamiento de los individuos y de la empresa son
muy a menudo subestimados como factor de éxito en las actividades de
gobierno y gestión.
• La información impregna toda la organización e incluye toda la información
producida y utilizada por la empresa. La información es necesaria para
mantener la organización funcionando y bien gobernada, pero a nivel operativo,
la información es muy a menudo el producto clave de la empresa en sí misma.
• Los servicios, infraestructuras y aplicaciones incluyen la infraestructura,
tecnología y aplicaciones que proporcionan a la empresa, servicios y
tecnologías de procesamiento de la información.
• Las personas, habilidades y competencias están relacionadas con las
personas y son necesarias para poder completar de manera satisfactoria todas
las actividades y para la correcta toma de decisiones y de acciones correctivas.
14 Ing. Julio César Becerra Lino
Figura N° 3: Catalizadores Corporativos Cobit 53
Principio 5: Separar el Gobierno de la Gestión
El marco de referencia COBIT 5 divide claramente al gobierno y la gestión, ya
que cada uno de estos conceptos involucra diferentes estructuras y propósitos
organizacionales diferentes
Gobierno
“El Gobierno asegura que se evalúan las necesidades, condiciones y opciones
de las partes interesadas para determinar que se alcanzan las metas
corporativas equilibradas y acordadas; estableciendo la dirección a través de la
priorización y la toma de decisiones; y midiendo el rendimiento y el
cumplimiento respecto a la dirección y metas acordadas”4
3 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 12-Catalizadores Corporativos Cobit 5 © 2012
ISACA® 4 Fuente: COBIT® 5 Framework-Spanish.pdf, Principios de Cobit 5 © 2012 ISACA®
15 Ing. Julio César Becerra Lino
Gestión
“La gestión planifica, construye, ejecuta y controla actividades alineadas con la
dirección establecida por el cuerpo de gobierno para alcanzar las metas
empresariales”5
2.1.4 METAS DE COBIT 5
COBIT 5 a través de la definición de metas permite traducir las necesidades de
las partes interesadas de cada empresa en metas corporativas y relacionadas
con metas de TI específicas para el tipo de negocio, industria, cultura que tiene
una determinada empresa.
Esta definición de metas se aplica y abarca a todas las áreas de la empresa en
apoyo de los objetivos generales y requisitos de las partes interesadas.
Las Metas Corporativas de Negocio COBIT 5 define 17 objetivos genéricos o
metas corporativas de negocio enfocados en cuatro áreas principales como
son: Financiera, cliente, interna, aprendizaje y crecimiento.
5 Fuente: COBIT® 5 Framework-Spanish.pdf, Principios de Cobit 5 © 2012 ISACA®
16 Ing. Julio César Becerra Lino
Metas Corporativas de Negocio
COBIT 5 define 17 objetivos genéricos o metas corporativas de negocio
enfocados en cuatro áreas principales como son: Financiera, cliente, interna,
aprendizaje y crecimiento.
Figura N° 4: Metas Corporativas de Cobit 56
6 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 5-Metas Corporativas de Cobit 5 © 2012 ISACA®
17 Ing. Julio César Becerra Lino
Metas Corporativas a Metas Relacionadas con las TI
COBIT 5 define 17 metas relacionadas con las TI, y cada una de estas son
mapeadas con las metas corporativas de negocio usando los siguientes
términos: ‘P’ que significa principal, una importante relación, es decir, las metas
relacionadas con TI que son fundamentales para conseguir los objetivos de la
empresa. ‘S’ que significa secundario, cuando las metas relacionadas con TI
son un soporte secundario para los objetivos de la empresa.
Métricas de Metas Corporativas
Figura 6—Muestra de Métricas de Metas Corporativas
Dimensión CMI
Meta Corporativa Métrica
Financiera
1. Valor para las partes interesadas de las Inversiones de Negocio
• Porcentaje de inversiones en las que la entrega cumple con las expectativas de los interesados • Porcentaje de productos y servicios en los que se realizan los beneficios esperados • Porcentaje de inversiones en los que se cumplen o superan los
beneficios establecidos
2. Cartera de productos y servicios competitivos
• Porcentaje de productos y servicios que alcanzan o exceden los objetivos de ingresos y/o cuota de mercado • Relación de productos y servicios por fase del ciclo de vida • Porcentaje de productos y servicios que alcanzan o exceden los objetivos de satisfacción al cliente • Porcentaje de productos y servicios que proporcionan ventaja
competitiva
3. Riesgos de negocio gestionados (salvaguarda de activos)
• Porcentaje de objetivos de negocio críticos y servicios cubiertos por gestión del riesgo • Relación de incidentes significativos que no fueron identificados en las evaluaciones de riesgo respecto al número total de incidentes • Frecuencia de actualización del perfil de riesgos
4. Cumplimiento de leyes y regulaciones externas
• Coste de incumplimientos regulatorios incluyendo acuerdos y sanciones • Número de incumplimientos regulatorios causantes de comentarios públicos o publicidad negativa • Número de incumplimientos regulatorios en relación con acuerdos contractuales con socios de Negocios
18 Ing. Julio César Becerra Lino
5. Transparencia financiera
• Porcentaje de casos de negocio de inversión con costes y beneficios esperados claramente definidos y aprobados • Porcentaje de productos y servicios con costes operativos y beneficios esperados definidos y aprobados • Encuestas de satisfacción a interesados clave en relación con la transparencia, comprensión y precisión de la información financiera corporativa • Porcentaje del coste del servicio que puede ser asignado a usuarios
Cliente 6. Cultura de servicio orientada al cliente
• Número de trastornos del servicio al cliente debidos a incidentes relacionados con el servicio TI (fiabilidad) • Porcentaje de interesados del negocio que se encuentran satisfechos con que la entrega del servicio de cliente cumpla con los niveles acordados • Número de quejas de clientes • Tendencia de los resultados de las encuestas de satisfacción al cliente
7. Continuidad y disponibilidad del servicio de negocio
• Número de interrupciones de servicio al cliente causantes de incidentes significativos • Coste de negocio de los incidentes • Número de horas de procesamiento perdidas debido a interrupciones del servicio no planificadas • Porcentaje de quejas en función de los objetivos de disponibilidad del servicio comprometidos
8. Respuestas ágiles a un entorno de negocio cambiante
• Nivel de satisfacción del Consejo de Administración con la capacidad de respuesta corporativa a nuevos requerimientos • Número de productos y servicios críticos sustentados por procesos de negocio actualizados • Tiempo medio de conversión de objetivos estratégicos corporativos en iniciativas acordadas y aprobadas
9. Toma estratégica de Decisiones basada en Información
• Grado de satisfacción del Consejo de Administración y la alta dirección con la toma de decisiones • Número de incidentes causados por decisiones de negocio incorrectas basadas en información imprecisa • Tiempo requerido para ofrecer información de apoyo que permita decisiones de negocio efectivas
10. Optimización de costes de entrega del servicio
• Frecuencia de las evaluaciones de optimización del coste de entrega del servicio • Tendencia de la evaluación de costes respecto a los resultados del nivel de servicio • Niveles de satisfacción del Consejo de Administración y la alta dirección con el coste de entrega del servicio
Interna 11. Optimización de la funcionalidad de los procesos de negocio
• Frecuencia de las evaluaciones de madurez de la capacidad de los procesos de negocio • Niveles de satisfacción del Consejo de Administración y la alta dirección con las capacidades de los procesos de negocio
19 Ing. Julio César Becerra Lino
12. Optimización de los costes de los procesos de negocio
• Frecuencia de evaluaciones de optimización de costes de los procesos de negocio • Tendencia de la evaluación de costes respecto a los resultados del nivel de servicio • Niveles de satisfacción del Consejo de Administración y la alta dirección con los costes de procesamiento del negocio
13. Programas gestionados de cambio en el negocio
• Número de programas cumplidos en tiempo y en presupuesto • Porcentaje de interesados satisfechos con la ejecución y resultados del programa • Nivel de concienciación de cambios en el negocio inducidos por TI Iniciativas de negocio posibilitadas
14. Productividad operacional y de los empleado
• Número de programas/proyectos en tiempo y presupuesto • Niveles de coste y de personal comparados con los análisis comparativos
15. Cumplimiento con las políticas internas
• Número de incidentes relacionados con el incumplimiento de políticas • Porcentaje de interesados que entienden las políticas • Porcentaje de políticas apoyadas por estándares y prácticas de trabajo efectivos
Aprendizaje y Crecimiento
16. Personas preparadas y motivadas
• Nivel de satisfacción de los interesados con el conocimiento y la cualificación del personal • Porcentaje de personal cuya cualificación es insuficiente para la competencia requerida por su rol • Porcentaje de personal satisfecho
17. Cultura de innovación de producto y negocio
• Nivel de concienciación y comprensión de las oportunidades de innovación del negocio • Satisfacción de los interesados con los niveles de conocimiento e ideas de innovación y productos • Número de iniciativas de productos y servicios aprobadas resultantes de ideas innovadoras
Figura N° 5: Métricas de Metas Corporativas7
7 Fuente: COBIT® 5 Enabling-Spanish.pdf, Figura 5-Metas Corporativas de Cobit 5 © 2012 ISACA®
20 Ing. Julio César Becerra Lino
Metas relacionadas con las TI
Figura N° 6: Metas relacionadas con las TI8
Todas estas definiciones de metas de negocio y de TI permiten en la práctica
definir objetivos y prioridades efectivos para una implementación y
aseguramiento exitoso del gobierno de las TI en la empresa.
8 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 6-Metas relacionadas con las TI © 2012 ISACA®
21 Ing. Julio César Becerra Lino
Métricas de Metas TI
Figura 7—Ejemplos de Métricas de Metas TI
Dimensión CMI
Objetivos de las TI Métrica
Financiera 01 Alineamiento de TI y estrategia de negocio
• Porcentaje de metas estratégicas y requerimientos corporativos apoyados por metas TI estratégicas • Nivel de satisfacción de los interesados con el alcance del portfolio de programas y servicios planificado • Porcentaje de factores de valor TI mapeados a factores de
valor del negocio
02 Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas
• Coste de incumplimientos TI, incluyendo acuerdos y sanciones e impacto en pérdida de reputación • Número de incumplimientos TI reportados al Consejo de Administración o causantes de comentarios o vergüenza públicos • Número de incumplimientos relacionados con proveedores de servicios TI • Cobertura de evaluaciones de cumplimiento
03 Compromiso de la dirección ejecutiva para tomar decisiones relacionadas con TI
• Porcentaje de roles de la dirección ejecutiva con responsabilidad claramente definida en decisiones TI • Número de veces que TI está en la agenda del Consejo de Administración de manera proactiva • Frecuencia de reuniones del comité ejecutivo de estrategia de TI • Tasa de ejecución de decisiones TI ejecutivas
04 Riesgos de negocio relacionados con las TI gestionados
• Porcentaje de procesos TI de negocio críticos, servicios TI y programas de negocio habilitados por TI cubiertos por evaluaciones de riesgo • Número de incidentes TI significativos que no fueron identificados en evaluaciones de riesgos • Porcentaje de evaluaciones de riesgo corporativas que incluyen riesgo TI • Frecuencia de actualización del perfil de riesgo
05 Realización de beneficios del portafolio de Inversiones y Servicios relacionados con las TI
• Porcentaje de inversiones TI donde la obtención del beneficio se supervisa a lo largo de todo el ciclo de vida económico • Porcentaje de servicios TI donde se obtienen los beneficios esperados • Porcentaje de inversiones TI donde se cumplen o exceden los beneficios esperados
06 Transparencia de los costes, beneficios y riesgos de las TI
• Porcentaje de casos de negocio de inversiones TI con costes TI y beneficios esperados claramente definidos y aprobados • Porcentaje de servicios TI con costes operativos y beneficios esperados claramente definidos y aprobados • Encuesta de satisfacción de interesados clave en relación con el nivel de transparencia, comprensión y precisión de información financiera TI
Cliente 07 Entrega de servicios de TI de acuerdo a los requisitos del negocio
• Número de interrupciones de negocio debidas a incidentes de servicios TI • Porcentaje de partes interesadas en el negocio satisfechas de que la entrega de servicios TI cumpla los niveles de servicio acordados • Porcentaje de usuarios satisfechos con la calidad de la entrega de servicios TI
22 Ing. Julio César Becerra Lino
08 Uso adecuado de aplicaciones, información y soluciones tecnológicas
• Porcentaje de propietarios de procesos de negocio satisfechos con el apoyo de productos y servicios TI • Nivel de entendimiento de los usuarios del negocio sobre cómo las soluciones tecnológicas apoyan sus procesos • Nivel de satisfacción de los usuarios de negocio con la formación y los manuales de usuario • Valor presente neto (NPV) mostrando el nivel de satisfacción del negocio con la calidad y utilidad de las soluciones tecnológicas
Interno 09 Agilidad de las TI • Nivel de satisfacción de la alta dirección del negocio con la capacidad de respuesta de TI a nuevos requerimientos • Número de procesos de negocio críticos soportados por infraestructura y aplicaciones actualizadas • Tiempo medio de conversión de objetivos TI estratégicos en una iniciativa acordada y aprobada
10 Seguridad de la información, infraestructuras de procesamiento y aplicaciones
• Número de incidentes de seguridad causantes de pérdidas financieras, interrupción del negocio o vergüenza pública • Número de servicios TI sin requerimientos de seguridad destacables • Tiempo de concesión, cambio y eliminación de privilegios de acceso comparado con los niveles de servicio acordados • Frecuencia de las evaluaciones de seguridad en relación a los últimos estándares y guías
11 Optimización de activos, recursos y capacidades de las TI
• Frecuencia de evaluaciones de la madurez de la capacidad y de la optimización de costes • Tendencia de los resultados de las evaluaciones • Niveles de satisfacción de la alta dirección del negocio y de TI con los costes y capacidades TI
12 Capacitación y soporte de procesos de negocio integrando aplicaciones y tecnología en procesos de negocio
• Número de incidentes del procesamiento de negocio causados por errores de integración de la tecnología • Número de cambios en los procesos de negocio que tienen que ser retrasados o revisados debido a problemas de integración de la tecnología • Número de programas de negocio facilitados por TI retrasados o incurriendo en costes adicionales debido a problemas de integración de la tecnología • Número de aplicaciones o infraestructuras críticas operando aisladamente y no integradas
13 Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad
• Número de programas/proyectos en tiempo y en presupuesto • Porcentaje de interesados satisfechos con la calidad del programa/proyecto • Número de programas que necesitan revisiones significativas debido a defectos de calidad • Coste de mantenimiento de las aplicaciones respecto al coste TI global
14 Disponibilidad de información útil y relevante para la toma de decisiones
• Nivel de satisfacción del usuario del negocio con la calidad y la puntualidad (o disponibilidad) de la información de gestión • Número de incidentes de procesos de negocio causados por la indisponibilidad de la información • Relación y alcance de decisiones de negocio erróneas donde la información errónea o no disponible fue un factor clave
23 Ing. Julio César Becerra Lino
15 Cumplimiento de las políticas internas por parte de las TI
• Número de incidentes relacionados con el incumplimiento de políticas • Porcentaje de interesados que entienden las políticas • Porcentaje de políticas apoyadas por estándares y prácticas de trabajo efectivas • Frecuencia de revisión y actualización de políticas
Aprendizaje y Crecimiento
16 Personal del negocio y de las TI competente y motivado
• Porcentaje de personal cuyas habilidades TI son suficientes para la competencia requerida por sus roles • Porcentaje de personal satisfecho con sus roles en TI • Número de horas de aprendizaje/ formación por miembro del personal
17 Conocimiento, experiencia e iniciativas para la innovación de negocio
• Nivel de concienciación y comprensión de la alta dirección del negocio sobre las posibilidades de innovación TI • Nivel de satisfacción de los interesados con los niveles de experiencia e ideas de innovación de TI • Número de iniciativas aprobadas resultantes de ideas TI innovadoras
Figura N° 7: Métricas de Metas TI9
9 Fuente: COBIT® 5 Enabling-Spanish.pdf, Figura 5-Metas Corporativas de Cobit 5 © 2012 ISACA®
24 Ing. Julio César Becerra Lino
Figura N° 8: Mapeo entre las Metas Corporativas y Relacionadas con TI10
10 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 22-Mapeo entre las Metas Corporativas de Cobit 5 y
las Metas Relacionadas con las TI©2012ISACA®
25 Ing. Julio César Becerra Lino
2.1.5 HISTORIA DE COBIT
El marco de referencia COBIT en sus primeras versiones se definía como un
marco de auditoría y control para auditores de TI. (Años 1996 COBIT 1 y 1998
COBIT 2).
Posteriormente ISACA en las revisiones del año 2000 genera COBIT 3
incluyendo un documento o guía de gestión para la dirección, con un
acercamiento al concepto de Gobierno de TI. Luego aparece la versión 4.0 de
COBIT (año 2005-2007) la cual define un marco general de Gobierno TI y
definiciones como Val IT (valor de las TI) y RISK IT (riesgos).
Finalmente en el mes de Junio del 2012 COBIT 5.0, donde su principal principio
es el de separar el Gobierno de la Gestión.
Figura N° 9: Evolución de Cobit11
11 Fuente: COBIT® 5 Framework from ISACA, at www.isaca.org/cobit
26 Ing. Julio César Becerra Lino
2.1.2 DOMINIOS DE COBIT 5
El marco de referencia COBIT 5 define varios procesos de gobierno y gestión
todos con el objetivo de cubrir las metas tanto de empresas grandes en las que
se maneja un considerable número de procesos o empresas pequeñas que
manejan un número reducido de procesos.
Este modelo proporciona un marco integral para supervisar y medir el
desempeño de TI en las organizaciones integrando buenas prácticas de gestión
y representando todos los procesos que regularmente se encuentran en las
mismas relacionados con las actividades de TI.
Existen dos áreas principales de procesos que divide COBIT 5 detallados a
continuación:
Gobierno: Contiene un dominio con cinco procesos de gobierno, y dentro de
cada uno de ellos se establecen prácticas de evaluación, orientación y
supervisión (EDM).
Gestión: Contiene cuatro dominios e igualmente dentro de cada uno de ellos se
establecen prácticas de planificación, implementación, soporte y evaluación de
las TI.
Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
27 Ing. Julio César Becerra Lino
Figura N° 10: Las Áreas Clave de Gobierno y Gestión de Cobit 512
Las dos áreas principales de procesos que divide COBIT 5 detallados
anteriormente se clasifican en un número de 37 procesos de gobierno y gestión,
los cuales son una guía integra y referencial para evaluar y diagnosticar el
estado actual de cómo se encuentra la gestión de las TI en las empresas. A
continuación se detallan los 37 procesos contenidos en los cinco dominios
principales de COBIT.
12 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 15-Las Áreas Clave de Gobierno y Gestión de
COBIT 5 © 2012 ISACA®
28 Ing. Julio César Becerra Lino
Figura N° 11: Modelo de Referencia de Procesos de Cobit 513
2.1.2.1 EVALUAR, ORIENTAR y SUPERVISAR (EDM)14
01 Asegurar el establecimiento y mantenimiento del marco de referencia de
gobierno.
02 Asegurar la entrega de beneficios.
03 Asegurar la optimización del riesgo.
04 Asegurar la optimización de recursos.
05 Asegurar la transparencia hacia las partes interesadas.
13 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 16-Modelo de Referencia de Procesos de Cobit 5 ©
2012 ISACA® 14 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos
de COBIT 5© 2012 ISACA®
29 Ing. Julio César Becerra Lino
2.1.2.2 ALINEAR, PLANIFICAR y ORGANIZAR (APO)15
01 Gestionar el marco de gestión de TI.
02 Gestionar la estrategia.
03 Gestionar la arquitectura empresarial.
04 Gestionar la innovación.
05 Gestionar el portafolio.
06 Gestionar el presupuesto y los costes.
07 Gestionar los recursos humanos.
08 Gestionar las relaciones.
09 Gestionar los acuerdos de servicio.
10 Gestionar los proveedores.
11 Gestionar la calidad.
12 Gestionar el riesgo.
13 Gestionar la seguridad.
2.1.2.3 CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)16
01 Gestionar programas y proyectos.
02 Gestionar la definición de requisitos.
03 Gestionar la identificación y construcción de soluciones.
04 Gestionar la disponibilidad y la capacidad.
05 Gestionar la introducción del cambio organizativo.
06 Gestionar los cambios.
07 Gestionar la aceptación del cambio y la transición.
08 Gestionar el conocimiento.
09 Gestionar los activos.
10 Gestionar la configuración.
15 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos
de COBIT 5© 2012 ISACA® 16 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos
de COBIT 5© 2012 ISACA®
30 Ing. Julio César Becerra Lino
2.1.2.4 ENTREGA, SERVICIO Y SOPORTE (DSS)17
01 Gestionar operaciones.
02 Gestionar peticiones e incidentes de servicio.
03 Gestionar problemas.
04 Gestionar la continuidad.
05 Gestionar servicios de seguridad.
06 Gestionar controles de procesos de negocio.
2.1.2.5 SUPERVISAR, EVALUAR Y VALORAR (MEA) 18
01 Supervisar, evaluar y valorar el rendimiento y la conformidad.
02 Supervisar, evaluar y valorar el sistema de control interno.
03 Supervisar, evaluar y valorar la conformidad con los requerimientos
externos.
Cada uno de los procesos de gobierno y gestión proporciona una descripción y
declaración del propósito en general del proceso, estos son componentes clave
para la evaluación de capacidad de logros de la empresa.
2.1.3 MODELO DE CAPACIDAD DE LOS PROCESOS DE COBIT 5
En el marco de referencia COBIT 5, el enfoque de evaluación de brechas
existentes, es decir las diferencias mínimas, parciales o significativas de una
actividad para alcanzar un nivel deseado se basa en el modelo de capacidad de
procesos a través de la norma internacionalmente reconocida ISO / IEC 15504
de Ingeniería de Software-Evaluación de procesos. A través de este modelo
permite alcanzar los objetivos generales de evaluación de procesos e identificar
oportunidades de mejora para todos los procesos relacionados con las TI.
17 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos
de COBIT 5© 2012 ISACA® 18 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos
de COBIT 5© 2012 ISACA®
31 Ing. Julio César Becerra Lino
El modelo de capacidad de los procesos de COBIT 5 se puede resumir en la
siguiente figura detallada a continuación:
Figura N° 12: Atributos Genéricos de Capacidad de Procesos19
Como se puede observar en el cuadro mencionado, existen seis niveles de
capacidad que un proceso puede alcanzar según el cumplimiento de distintas
actividades específicas que el proceso debe tener y cuya definición es la
siguiente:
Nivel 0 Proceso incompleto: El proceso no está implementado o no alcanza
su propósito. A este nivel, hay muy poca o ninguna evidencia de ningún logro
sistemático del propósito del proceso.20
19 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 19-Resumen del Modelo Capacidad de Procesos de
Cobit 5 © 2012 ISACA® 20 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012
32 Ing. Julio César Becerra Lino
Aquí el proceso no existe o lo poco que se hace no cumple con el propósito del
mismo.
Nivel 1 Proceso ejecutado (un atributo): El proceso implementado alcanza su
propósito.21 En este caso, lo que se hace alcanza el propósito del proceso.
Nivel 2 Proceso gestionado (dos atributos): El proceso ejecutado descrito
anteriormente está ya implementado de forma gestionada (planificado,
supervisado y ajustado) y los resultados de su ejecución están establecidos,
controlados y mantenidos apropiadamente.22
Aquí el proceso tiene un plan, un procedimiento pero interno, de una pequeña
área, no difundido ni formalizado.
Nivel 3 Proceso establecido (dos atributos): El proceso gestionado descrito
anteriormente está ahora implementado usando un proceso definido que es
capaz de alcanzar sus resultados de proceso.23
Con toda la información obtenida del nivel 2 se establece una política
formalmente aprobada, difundida, publicada a nivel organizacional.
Nivel 4 Proceso predecible (dos atributos): El proceso establecido descrito
anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus
resultados de proceso.
Se establece métricas, indicadores de desempeño, mediciones de riesgo y
calidad.
ISACA®
21 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012
ISACA® 22 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012
ISACA® 23 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012
ISACA®
33 Ing. Julio César Becerra Lino
Nivel 5 Proceso optimizado (dos atributos): El proceso predecible descrito
anteriormente es mejorado de forma continua para cumplir con las metas
empresariales presentes y futuros.24
2.1.4 EVALUACIONES DE CAPACIDAD DE PROCESOS EN COBIT
Las evaluaciones de capacidad de procesos en COBIT se basan en el estándar
ISO/IEC 15504 y determinan varios grados de rigor. Estás evaluaciones
permiten analizar carencias sobre la gestión de gobierno y la gestión de las TI
de las empresas así como medir y monitorear la capacidad actual de las
distintas áreas tecnológicas a través de la definición de una escala de
porcentajes se puede ubicar el nivel actual que cada uno de los procesos
alcanza con el cumplimiento de sus objetivos. Esta escala consiste en las
siguientes características de clasificación:
N (No alcanzado): Hay muy poca o ninguna evidencia de que se alcanza el
atributo definido en el proceso de evaluación. (0 al 15 por ciento de logro).
P (Parcialmente alcanzado): Hay alguna evidencia de aproximación a, y algún
logro del atributo definido en el proceso evaluado. Algunos aspectos del logro
del atributo pueden ser impredecibles. (15 a 50 por ciento de logro).
L (Ampliamente alcanzado): Hay evidencias de un enfoque sistemático y de un
logro significativo del atributo definido en el proceso evaluado. (50 a 85 por
ciento de logro).
F (Completamente alcanzado): Existe evidencia de un completo y sistemático
enfoque y un logro completo del atributo definido en el proceso evaluado. No
24 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012
ISACA®
34 Ing. Julio César Becerra Lino
existen debilidades significativas relacionadas con el atributo en el proceso
evaluado. (85 a 100 por ciento de logro).
2.1.4.1 REGLA CLAVE
Un nivel de capacidad puede alcanzarse sólo cuando:
a) todos sus atributos están al menos Ampliamente alcanzado (Largely
achieved) y
b) cuando todos los atributos del nivel anterior han sido Completamente
alcanzados (Fully achieved).
2.1.4.2 MAPEO DETALLADO DE LAS METAS RELACIONADAS CON LAS
TI Y LOS PROCESOS RELACIONADOS CON LAS TI
Finalmente para dar énfasis y poner foco en los objetivos principales que
generan valor a las empresas, el marco de referencia COBIT a través de un
mapeo detallado relaciona las metas de TI y los procesos relacionados de TI,
con los 37 procesos de COBIT 5, agrupados por dominios. En este mapeo se
muestra dos términos fundamentales:
P indica una relación primaria, cuando hay una relación importante. Es decir el
proceso de COBIT 5 es imprescindible para conseguir las metas relacionadas
con TI.
S indica una relación secundaria, es decir una relación menos fuerte.
35 Ing. Julio César Becerra Lino
Figura N° 13: Mapeo entre las metas relacionadas con las TI de Cobit 5 y los
procesos25
25 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 23-Mapeo entre las Metas Relacionadas con las TI
36 Ing. Julio César Becerra Lino
CAPÍTULO III: MARCO METODOLÓGICO
3.1 TIPIFICACIÓN DE LA INVESTIGACIÓN
La investigación es de tipo no-experimental porque solo se observarán
fenómenos tal como se dan en su contexto natural para después analizarlos sin
manipular deliberadamente las variables. Es de diseño transversal porque solo
se analizarán los procesos de Tecnología de Información del departamento de
TI de la empresa GRANOS. Inicialmente la investigación es descriptiva porque
se va a indagar las incidencias y los valores en que se manifiestan las variables,
pudiéndose convertirse en correlacional cuando se contrasten las variables de
la situación inicial con la situación final.
3.2 HIPÓTESIS DEL TRABAJO
La falta de un manual de buenas prácticas para la mejora de los procesos de
Tecnología de Información del departamento de TI de la empresa GRANOS,
incide en los niveles de efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad de los servicios que brinda.
3.2.1 VARIABLES
Variable Independiente: Manual de buenas prácticas de mejora de
los procesos de Tecnología de Información.
Variable Dependiente: Niveles de efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad de los servicios que brinda.
de Cobit 5 y los Procesos © 2012 ISACA®
37 Ing. Julio César Becerra Lino
3.3 MÉTODOS, TÉCNICAS E INSTRUMENTOS DE INVESTIGACIÓN
A continuación se exponen los pasos a seguir para poder lograr el objetivo
principal de este proyecto:
a) Primeramente se realizará un estudio teórico del Marco Referencial de
COBIT 5 para así poder comprender y entender todos los procesos y el
modelo de madurez.
b) Se realizará un estudio exploratorio para poder evaluar el estado actual
de los procesos. Se aplicará la técnica de la observación para determinar
el diagnóstico de los servicios de TI en la empresa; evidenciando y
revisando la documentación existente (si la hubiera), como la ejecución
actual de los procesos para que estos puedan ser clasificados dentro del
marco referencial de COBIT 5. Con este estudio se podrá identificar a los
procesos actuales del departamento de TI y a las posibles causas que
generan los actuales problemas.
c) Se aplicará un estudio descriptivo para la evaluación de los grados de
madurez de cada uno de los procesos. Para esto se aplicará una serie
reuniones con el personal del departamento de TI, que está involucrado
en la ejecución de estos procesos.
d) Se aplicará el Modelo de Madurez de COBIT 5 a los resultados obtenidos
para determinar el estado actual de los procesos y definir el grado de
madurez de los cinco dominios de COBIT 5.
e) Se utilizarán técnicas de medición para que con los resultados obtenidos
del grado de madurez de los procesos, se pueda generar un modelo que
permita transformar el estado actual de los procesos y así mejorar los
actuales niveles de servicio en los que se encuentra el departamento de
TI.
38 Ing. Julio César Becerra Lino
f) Se aplicará un estudio exploratorio para el diseño del Manual de Buenas
Prácticas de Mejoras de Procesos, para poder definir los requerimientos
de mejora de procesos en base a la evaluación del grado de madurez de
los mismos.
g) Se aplicará el Modelo de Madurez de COBIT 5, para poder obtener: La
identificación y priorización de las metas de gobierno y de TI, la
priorización de los procesos, la métricas de las metas del procesos y la
prácticas de gestión y de gobierno que será el punto clave para la
elaboración del manual.
h) Se realizará un estudio descriptivo para poder definir los pasos
necesarios para el rediseño de un proceso, los documentos que se
deberán generar, los controles que tendrán que ser definidos, y las
aprobaciones que deberán obtenerse.
i) Se realizará una aplicación práctica del manual que permita definir y
plantear las conclusiones y recomendaciones respectivas acerca de la
ejecución del proyecto.
39 Ing. Julio César Becerra Lino
CAPÍTULO IV: ESTADO ACTUAL DEL DEPARTAMENTO DE TI
4.1 DESCRIPCIÓN DE LA ORGANIZACIÓN
4.1.1 ANTECEDENTES Y ACTIVIDADES
La empresa de servicio agroindustrial “GRANOS” es una de las principales
empresas productoras de Torta de soya y Aceites comestibles, iniciando sus
labores el 1 de Marzo de 1991, fecha en que oficialmente fue fundada.
El domicilio de la planta industrial está ubicado en el Km. 8 ½, sobre la carretera
que une la ciudad de Santa Cruz con Cotoca, zona noreste de Guapilo,
perteneciente al municipio de Santa Cruz de la Sierra, provincia Andrés Ibáñez.
“GRANOS” se ha mantenido a través de los años como una empresa líder a
nivel nacional, inicialmente comenzó con la elaboración de productos de
molinería luego se lanza al mercado, con producción de aceite y torta de soya.
Dentro de la línea de productos que maneja se encuentran:
- Elaboración de aceites y grasas vegetales sin refinar y subproductos.
- Elaboración de aceites y grasas vegetales refinadas y subproductos.
- Preparación de tortas y producción de harinas.
- Preparación y molienda de otros cereales.
Desde el inicio de la actividad, la estructura de GRANOS se ha desarrollado
hasta convertirse en una dinámica organización con la única misión de ofrecer a
sus clientes un producto de la mejor calidad a un precio competitivo.
Todo lo anterior es posible gracias a los esfuerzos de profesionales que hoy
concurren en la empresa, quienes con su alta cualificación y motivación dan la
mejor respuesta del mercado en cuanto a calidad de servicio, cumpliendo lo
prometido y cuidando el trato con el cliente.26
26 Fuente: Manual de Calidad de la Empresa Granos, MCG-001
40 Ing. Julio César Becerra Lino
La Dirección de la organización está decidida a realizar los esfuerzos e
inversiones necesarias para mejorar continuamente sus productos y de este
modo colocarse entre las organizaciones más importantes del sector.
4.1.2 VISIÓN
Nuestra visión es ser una empresa agroindustrial líder de mayor mercado en el
rubro con nuevas tecnologías a nivel Nacional e Internacional, ofreciendo una
mejora continua en la calidad de nuestros productos, garantizando y
cumpliendo con las necesidades y expectativas de nuestros clientes,
accionistas y sociedad en general.27
4.1.3 MISIÓN
Nuestra misión es agregar valor para nuestros clientes y accionistas,
administrando y ejecutando los recursos, preservando el medio ambiente en la
transformación de productos agrícolas sostenibles, garantizando la seguridad y
calidad de nuestro producto para su posterior comercialización en el mercado
nacional e internacional.
Respaldar analíticamente las acciones y decisiones de la empresa en su
responsabilidad de controlar la Calidad de Productos e Insumos agroindustrial,
salvaguardar la Sanidad Animal y Vegetal y proteger la Salud Pública.28
27 Fuente: Manual de Calidad de la Empresa Granos, MCG-001
28 Fuente: Manual de Calidad de la Empresa Granos, MCG-001
41 Ing. Julio César Becerra Lino
4.1.4 POLÍTICAS DE LA EMPRESA
La empresa de servicio agroindustrial “GRANOS” está comprometida a:
La elaboración de productos y servicios de calidad que satisfagan y de ser
posible, superen las expectativas del cliente, proporcionando la capacitación
apropiada a los trabajadores en un entorno de trabajo seguro y de mejora
continua.
Se dedica a la fabricación, comercialización y distribución de harina y aceite de
la más alta calidad para bienes de consumo y que tiene como pilares
fundamentales de nuestra estrategia empresarial, la calidad, la protección al
medio ambiente y la prevención de riesgos laborales asociados a nuestra
actividad.
Busca continuamente satisfacer las necesidades y expectativas de nuestros
clientes tanto internos como externos, así como gestionar la actividad
preventiva, controlar y reducir los residuos, los niveles sonoros y las emisiones
contaminantes a la atmósfera.
La política de Calidad de la empresa establece como principales directrices a la
mejora continua de los procesos, el cumplimiento de los requisitos y la
búsqueda de la satisfacción del cliente.29
Es voluntad de “GRANOS” y establece como objetivos: 30
Incrementar las utilidades de la empresa
Lograr objetivos de ventas
Promover la eficiencia a través de procesos adecuados.
Cumplir, o cuando sea, posible, rebasar las exigencias del cliente.
Capacitar al personal para trabajar con eficiencia y calidad.
Incrementar la participación del mercado local e internacional.
29 Fuente: Manual de Calidad de la Empresa Granos, MCG-001 30 Fuente: Manual de Calidad de la Empresa Granos, MCG-001
42 Ing. Julio César Becerra Lino
4.1.5 ESTRUCTURA ORGANIZACIONAL
Gerente Gereral
Asistente de
Gerencia
Gerencia ComercialTesoreríaControl de Calidad y
Medio AmbienteProducción
Dpto.
AgrícolaLogística
Ventas y
Despacho
Adm. de
VentasCartera
Programa y
Producción
Compra de
Mat. Prima
Ventas
Semillas
Ventas
Aceites
Ventas
Harinas
Limpieza
Almacén Contabilidad Departamento
de TI
Recursos
Humanos
Auxiliar
Almacén
Técnico
Auxiliar
Despacho
Laboratorio
Central
Mant.
Eléctrico
Jefe
Refinería
Jefe de Prep.
Y ExtracciónMant.
Mecánico
Electricistas
Recepción y
Silos
Refinado
Preparación Extracción
Envasado
Tratamiento
Harinas
Generación
Vapor
Mecánicos
Lab. Recepción
de Granos
Ayudante
Mensajero
Aux. Aux. Aux. Mensajero Portería
Desaguadero
Almacenes
Externos
Auditoria
Figura N° 14: Organigrama de la empresa GRANOS31
31 Fuente: Manifiesto Ambiental Industrial Empresa Granos
43 Ing. Julio César Becerra Lino
4.1.6 PRINCIPALES PROCESOS DEL NEGOCIO
Figura N° 15: Flujograma de producción de la planta industrial32
32 Fuente: Plan de Gestión de Residuos Sólidos Empresa Granos
44 Ing. Julio César Becerra Lino
Como las actividades de la Unidad Industrial se concentran principalmente en la
fabricación de aceite de soya y subproductos, se efectúa a continuación una
descripción de las operaciones del proceso, característicos para la molienda de
granos y extracción de aceites, misma que se ilustran de manera general en el
diagrama de flujo anterior de la Figura N°15.
Nro. Proceso Subprocesos
1
PROCESO DESCARGA Y
RECEPCIÓN DE GRANO
- Control de Calidad
- Descarguío
- Prelimpieza
- Secado
2
PREPARACIÓN DE LA SOYA
Y EXTRACCIÓN SOLVENTE
DE ACEITE DE SOYA
- Pre-limpieza
- Quebrado
- Separación de la cascarilla del grano
(descascarado)
- Acondicionado de grano
- Laminado
- Expansión del laminado
- Enfriamiento de la masa expandida
- Extracción de aceite
- Desolventizado de la torta de soya
- Destilación de la miscela
- Molienda y Embolsado
3 PROCESO DE ALMACENAJE
DE PRODUCTO TERMINADO
- Entarimado
4
REFINADO DE ACEITE
CRUDO
- Tratamiento ácido
- Neutralización
- Blanqueado
- Desodorizado
- Envasado
45 Ing. Julio César Becerra Lino
5
PROCESO DE ENVASADO
- Envasado producto final
6
PROCESO DE HARINA
INTEGRAL
- Silo Pulmón
- Balanza de Flujo o Sistema Electrónico
de Pesaje de Soya
- Prelimpieza
- Desactivado - Tostado del grano
- Enfriador del grano
- Molino del grano
- Pesado – Embolsado de harina
7
PROCESO DE SISTEMA DE
DESPACHO
- Despacho locales
- Despacho exportación
- Despacho harina integral
8
PROCESO DE
ACONDICIONADO DE
GRANO
- Muestreo del camión
- Control de calidad
- Recepción del camión
- Secado
- Clasificado
- Mesas densimétricas
- Embolsado
- Almacenado
Cuadro N° 1: Procesos de producción33
33 Fuente: Plan de Gestión de Residuos Sólidos Empresa Granos
46 Ing. Julio César Becerra Lino
4.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI
4.2.1 PRINCIPIOS, POLÍTICAS Y MARCOS DE REFERENCIA
Los principales objetivos del departamento de TI que ha tomado como
principios para desarrollar su trabajo, se detallan a continuación:
- Conocer el negocio, siempre enfocarse en los objetivos de la empresa,
encaminando los proyectos hacia los objetivos del negocio.
- Lograr la máxima satisfacción del Cliente, escuchar, comprender y
atender a nuestros clientes, dando soluciones prácticas y sencillas a
través de una atención rápida y eficiente.
- Hacer lo posible por trabajar en equipo, a través de una buena
comunicación entre los miembros del equipo donde prevalezca el
respeto, la igualdad y la confianza para poder así compartir
conocimientos.
- Mantenerse lo más actualizado posible, estar a la vanguardia con la
tecnología para así dar soluciones tecnológicas actuales a nuestros
clientes (usuarios de la empresa).
- Trabajar a la par con los jefes de áreas, negociar con ellos las mejores
soluciones.
- Apoyar a nuestros clientes al logro de sus objetivos, ayudar al cliente
sin tratar de tomar partido, ni imponiéndole ideas o soluciones, llegando
siempre a un consenso.
- Concientizar a los miembros de TI sobre el cuidado de todos los
recursos de TI, para así estar consciente del impacto que estos tienen
sobre el negocio y objetivos de la empresa.
47 Ing. Julio César Becerra Lino
Estos principios se tratan de inculcar a los miembros del departamento de TI
para que sea una guía en el trabajo diario y de esta manera tratar de aplicarlos
a los servicios que brinda el departamento de TI a toda la empresa.
4.2.2 ESTRUCTURA ORGANIZATIVA
El departamento de TI actualmente reporta todas sus actividades a la Gerencia
Comercial, la cual depende directamente de Gerencia General, a continuación
se puede ver la ubicación del departamento de TI respecto a los demás en la
Figura N°16
Gerente Gereral
Gerencia Comercial
Departamento de TI
ProducciónControl de Calidad y
Medio Ambiente
Almacén Contabilidad Recursos HumanosAuditoria
Figura N° 16: Ubicación del departamento de TI en la organización34
El departamento de TI está formado por 5 personas: La jefatura de TI es la
responsable de todo el departamento y cuenta con 3 equipos de trabajo que
están a su cargo para la entrega de servicios, estos se listan a continuación:
Equipo de redes y telecomunicaciones
Equipo de desarrollo y soporte a aplicaciones
Equipo de soporte Help Desk
34 Fuente: Manifiesto Ambiental Industrial Empresa Granos
48 Ing. Julio César Becerra Lino
Estos equipos de trabajo tienen responsabilidades y funciones específicas, a
continuación se muestra un esquema organizacional del departamento de TI
representado en la Figura N°17, donde se puede ver las 4 áreas y las
ubicaciones de los 5 integrantes del departamento de TI en sus respectivas
áreas y responsabilidades, es importante hacer notar que todos los integrantes
no solo se abocan a su departamento y responsabilidades asignadas, sino más
bien que todos colaboran con otras áreas para así lograr un mejor trabajo en
equipo y brindar soluciones rápidas a las solicitudes de los usuarios. Esta
distribución del trabajo se explica con mayor detalle en la siguiente sección de
“procesos del departamento de TI”.
Figura N° 17: Esquema organizacional del departamento de TI35
35 Fuente: Elaboración propia
49 Ing. Julio César Becerra Lino
4.2.3 PERSONAS, HABILIDADES Y COMPETENCIAS
A continuación en el Cuadro N°2 se exponen el personal, las funciones y
responsabilidades que tienen dentro del departamento de TI.
Nro. Profesional Cargo Equipo al que pertenece
Colabora con: “Redes y Telecomunicaciones”
Colabora con: “Desarrollo y Soporte a Aplicaciones”
Colabora con: “Soporte Help Desk”
1
Ing. Sistemas
Jefe de TI
Jefatura de TI
NO
SI
SI
2
Ing. Informático
Administrador de Red
Redes y Telecomunicaciones
SI
SI
SI
3
Ing. Sistemas
Programador 1
Desarrollo y Soporte a Aplicaciones
NO
NO
SI
4
Ing. Informático
Programador 2
Desarrollo y Soporte a Aplicaciones
NO
NO
SI
5
Ing. Telecomunicaciones
Soporte Técnico
Soporte y Help Desk
SI
NO
NO
Cuadro N° 2: Personal del departamento de TI
50 Ing. Julio César Becerra Lino
4.2.4 PROCESOS
Los procesos del departamento de TI están divididos en 4 categorías acorde a
la forma actual como están organizadas y divididas todas las actividades dentro
del mismo, estas abarcan todos los servicios que el departamento de TI ofrece
a la empresa.
4.2.4.1 PROCESOS DE LA JEFATURA DE TI
En este equipo está el jefe de TI, el cual tiene el apoyo de los otros 4
integrantes del departamento para poder alcanzar sus logros y objetivos.
Desarrollo de planes y estrategias de servicios de TI acorde a
los requerimientos del negocio.
Desarrollo, aprobación y seguimiento de presupuestos a
proyectos internos y externos.
Seguimiento a seguridad de TI: Usuarios, red, datos y
aplicaciones
Plan de contingencia ante desastres para TI
Control de que los servicios de TI se enmarquen a las políticas
y regulaciones gubernamentales y del negocio.
Plan de soporte y mantenimiento a equipos y usuarios.
51 Ing. Julio César Becerra Lino
4.2.4.2 PROCESOS DE LOS SERVICIOS DE RED Y
TELECOMUNICACIONES
Este equipo está conformado por un administrador de red, al cual le colabora el
encargado de Soporte Help Desk.
Desarrollo y seguimiento de presupuesto de proyectos de
infraestructura de red.
Desarrollo y seguimiento de presupuesto de proyectos para
telecomunicaciones.
Administración de Servidores HP
Administración de la Intranet
Administración de respaldos y recuperaciones
Administración y operaciones sobre la red
- Creación y mantenimientos de usuarios
- Procedimientos de respaldo de la información
- Administración de espacio en disco de los servidores
Seguridad sobre la red local
- Permisos sobre archivos
- Permisos sobre dispositivos
- Seguridad sobre e-mail
52 Ing. Julio César Becerra Lino
- Seguridad sobre restricciones de navegación web de
usuarios
- Administración y políticas de contraseñas de
usuarios
- Privilegios de usuarios
Provisión de comunicación de datos interna y externa
- Estructuración y diseño de redes
- Comunicación de todas la locaciones de la empresa
- Comunicación de todos los centros de acopio rurales
de la empresa
- Switches
- Acceso controlado de internet para la organización
- Proxy, Web cache y Firewall
- VPN (Red Privada Virtual)
- DHCP, DNS (Protocolo de resolución de nombres)
- Active Directory
Seguridad de red y telecomunicaciones
- Seguridad Física
- Seguridad Lógica
53 Ing. Julio César Becerra Lino
Soporte de red y de aplicaciones SCADA (Planta Solvente,
Calderos de Gas y Planta de Refinería)
Centros de Cómputo
- Operaciones
- UPS
- Control de ambiente
- Restricciones de acceso
Administración de Base de Datos
4.2.4.3 PROCESOS DE SERVICIOS DE DESARROLLO Y
SOPORTE A APLICACIONES
Este equipo está conformado por 2 desarrolladores de software más el
administrador de red que también colabora con el desarrollo de aplicaciones.
Obtención de los requerimientos del cliente
- Necesidades
- Definición de requisitos
- Análisis de requisitos
- Alcance del sistema
Diseño estructural y organizativa del software
- Clasificación de requisitos
- Organizar arquitectura del software
Desarrollo del software
54 Ing. Julio César Becerra Lino
- Codificación y depuración del software
Pruebas del software
- Pruebas generales
Implantación del software
- Instalación
- Entrenamiento
Mantenimiento
- Mejoras
- Corrección de errores
- Nuevas funcionalidades
4.2.4.4 PROCESOS DE SERVICIOS DE SOPORTE HELP DESK
Este equipo está conformado por un encargado de Soporte Help Desk al cual le
colaboran los 3 integrantes del equipo de desarrollo.
Soporte a computadoras de escritorio utilizadas para acceder a
la red local de la empresa
- Inventarios
- Reparación y mantenimiento
- Préstamos de equipos a otras áreas de la empresa
- Configuración y distribución de equipos a otras áreas
55 Ing. Julio César Becerra Lino
Servicios de impresión y escaneo
Help Desk
- Primer punto de contacto con el cliente
- Seguimiento y resolución de problemas
- Administración de videoconferencias
Soporte a centros de acopio en áreas rurales.
Soporte a telefonía interna
56 Ing. Julio César Becerra Lino
4.2.5 PRINCIPALES PROCEDIMIENTOS DE TI
Dentro del departamento existen procedimientos que se cumplen en el día a día
a continuación se mencionan los más relevantes.
ID Procedimientos relevantes del departamento de TI
PTI1 Adquisición de equipos
PTI2 Instalación de equipos
PTI3 Mantenimiento de equipos
PTI4 Respaldo de Información (Backup)
PTI5 Administración de Cuentas de Usuarios
PTI6 Administración del acceso a Internet
PTI7 Acceso a los archivos y documentos digitales
PTI8 Nuevos desarrollos de software
PTI9 Modificaciones de software
PTI10 Actualizaciones de software
PTI11 Gestión de Bases de datos
PTI12 Soporte a usuarios locales
PTI13 Soporte a usuarios remotos
PTI14 Administración de códigos para la central telefónica
PTI15 Administración de uso de Dispositivos de almacenamiento
PTI16 Gestión de equipos y personal para época de acopio de materia prima
PTI17 Gestión de servicios externos
Cuadro N° 3: Procedimientos relevantes del departamento de TI
57 Ing. Julio César Becerra Lino
4.2.6 CULTURA, ÉTICA Y COMPORTAMIENTO
Entre los valores más importantes que ayuden a los objetivos del departamento
de TI a conseguir sus logros se han definido los siguientes:
Colaboración: Trabajar codo a codo con los clientes y proveedores externos,
para satisfacer las necesidades de los mismos y recibir la retroalimentación de
experiencias externas para mejorar en el logro de los objetivos del negocio.
Innovación: Generación continua de ideas y estrategias que contribuyan a la
mejora de la empresa.
Transparencia: Absoluta claridad en los procesos y en las acciones de los
integrantes de la empresa.
Servicio: Cumplir con los compromisos y hacerse responsables de los
rendimientos en todos los servicios que el departamento de TI presta.
Integridad: Respetar y cumplir la normativa interna y todo lo que rodea la
empresa.
4.2.7 INFORMACIÓN
Entre los principios más importantes que se han definido en el departamento de
TI respecto a la información se mencionan los siguientes:
- Mantener la confidencialidad óptima que impida el uso de la información
a personas no autorizadas.
- Mantener la integridad que garantice que los datos no sufrirán
modificaciones no autorizadas.
- Garantizar la disponibilidad que garantice el uso de la información a las
personas u aplicaciones autorizadas cuando estas consideren necesario.
58 Ing. Julio César Becerra Lino
- Mantener un óptimo proceso de autenticación de usuarios u aplicaciones
que consumen información de los sistemas.
4.2.8 SERVICIOS, INFRAESTRUCTURA Y APLICACIONES
De acuerdo a los 3 equipos de trabajos conformados en el departamento de TI
(redes y telecomunicaciones, desarrollo y soporte a aplicaciones y soporte help
desk), se han clasificado en 2 categorías los servicios que se presta a la
organización, estos se listan a continuación.
- Servicios por demanda
- Entrega de servicios estándares
4.2.8.1 SERVICIOS POR DEMANDA
El servicio por demanda se realiza cuando un cliente demanda atención a sus
requerimientos para que el departamento de TI le pueda dar una solución a su
problema, el servicio por demanda atiende requerimientos no estándares de los
clientes.
Los equipos de: Desarrollo y Soporte Help Desk son los que atienden este tipo
de servicio y son los responsables de atender, analizar, asistir y apoyar a los
clientes en la solución y obtención de resultados a sus requerimientos.
59 Ing. Julio César Becerra Lino
4.2.8.2 ENTREGA DE SERVICIOS ESTÁNDARES
Este servicio lo realiza el departamento de TI en todo momento y a toda la
organización a través de sus servicios relacionados con los: Datos,
infraestructura de las instalaciones, tecnología y aplicaciones que actualmente
son brindadas por TI a la empresa.
Es importante hacer notar que la entrega de servicios por demanda depende
muy estrechamente de la entrega de servicios estándares, ya que los servicios
por demandan no pueden funcionar y cumplir sus propósitos si es que los
servicios estándares no están funcionando correctamente.
Dentro de la entrega de servicios estándares intervienen los 3 equipos de TI:
Red y telecomunicaciones, desarrollo y soporte a aplicaciones y el equipo se
soporte y help desk.
60 Ing. Julio César Becerra Lino
CAPÍTULO V: CASCADA DE METAS Y GRADO DE MADUREZ DEL
DEPARTAMENTO DE TI
5.1 METODOLOGÍA DE EVALUACIÓN
El objetivo principal dentro de este capítulo es la medición del grado de
madurez de cada uno de los 37 procesos de TI definidos en el marco
referencial, en base al Modelo de Madurez propuesto por COBIT. Para alcanzar
esta meta es necesario identificar y determinar el método más apropiado para
generar la información que permita cuantificar el grado de madurez de cada
proceso de gobierno y gestión.
Como COBIT es un marco de referencia no aplicado en la organización, es
necesario generar información primaria, ya que no existen fuentes secundarias
o documentación que pueda apoyar a la obtención de la información que COBIT
requiere para determinar los grados de madurez. Entonces se ha considerado
tres modelos generales de generación de información que se detallan a
continuación.
5.1.1 OBSERVACIÓN
Técnica científica que en base a la observación y al uso de los sentidos en el
campo donde se desarrollan los eventos de interés; permite generar los datos
necesarios para lograr un objetivo determinado. Su principal ventaja radica en
que es un método sencillo, que puede realizarse en tiempos reducidos y cuyo
costo es mínimo.
Sin embargo dentro de sus desventajas se puede mencionar que genera
información distorsionada, ya que depende de la percepción del observador,
que puede estar influenciado por actitudes, intereses y experiencias pasadas al
momento de cuantificar la información requerida. La técnica de la observación
puede ser muy útil para grupos grandes en los cuales la población no está
accesible para extraer la información.
61 Ing. Julio César Becerra Lino
5.1.2 ENCUESTAS
Técnica que se basa en la creación de un cuestionario de preguntas definidas
en base a una metodología y a un criterio de medición, el cual es entregado a
los individuos para la extracción de información. Dentro de sus ventajas se
menciona que proporciona el punto de vista y la percepción de los procesos que
se buscan medir. Si se selecciona correctamente su muestra entregará datos
muy cercanos a la realidad con un bajo porcentaje de error.
Dentro de sus desventajas se puede mencionar que requiere mayor tiempo y
costos para procesar la información y obtener los resultados buscados. Es muy
útil para grupos grandes donde se puede acceder a una muestra para la
extracción de información.
5.1.3 ENTREVISTAS
Como su nombre lo indica, es una reunión con cada individuo para realizar una
serie de preguntas que tienen como objetivo generar la información requerida.
Con la entrevista hay una interacción directa con los involucrados en el proceso
de generación de información. Dentro de sus ventajas se encuentra el poder
sentir la percepción real de las personas acerca del cuestionario aplicado. Igual
que la encuesta genera información muy precisa si la muestra es correctamente
seleccionada.
Entre sus desventajas se puede mencionar que se requiere tiempo de los
entrevistados, lo cual puede ser difícil de conseguir. Si la muestra es grande los
tiempos de procesamiento serán largos y los costos serán más altos. Es muy
útil para grupos pequeños ya que no se requiere de mucho tiempo y costo para
obtener los datos requeridos.
62 Ing. Julio César Becerra Lino
5.1.4 IDENTIFICACIÓN DE LA MUESTRA
Para escoger el método más adecuado es necesario considerar el tamaño de la
muestra que se va a determinar. Para esto es adecuado recapitular la población
involucrada en la medición de los grados de madurez de los 37 procesos de
gobierno y gestión.
Como se va a medir procesos de TI, los individuos más adecuados para la
medición de los procesos, son los responsables de los procesos y los clientes
de los procesos. Los responsables de los procesos de TI, velan y supervisan
ejecución de las actividades. COBIT define, en cambio, a los clientes de los
procesos a todo individuo que entrega o recibe un producto o servicio de los
procesos de TI. Es muy importante anotar que los procesos de gobierno y
gestión de TI son los procesos internos del manejo de la tecnología de
información.
Responsables de los procesos
El esquema organizacional de TI, la identificación y categorización de los
procesos, muestra como los integrantes del departamento de TI son los
responsables de los procesos, ya que son los encargados de la gestión de
tecnología de la información para satisfacer los requerimientos de negocio.
Aunque muchos de los procesos son ejecutados por los miembros de los
equipos, en muchos procesos los miembros no tienen una visión global de los
objetivos del proceso, desde el punto de vista de COBIT.
63 Ing. Julio César Becerra Lino
Clientes de los Procesos de TI
Los clientes de los procesos de TI, son los individuos que entregan o reciben
productos y servicios de los procesos. En otras palabras tienen algún nivel de
interacción con los procesos en forma directa o indirecta.
Todos los departamentos de la organización, son clientes de TI. Sin embargo
cabe resaltar que los miembros de TI también son clientes internos de algunos
servicios.
Principalmente los equipos de Soporte y Desarrollo, son clientes de los
servicios ofrecidos por los equipos de Redes y Telecomunicaciones, lo cual, los
convierte en valiosos elementos de aporte a las evaluaciones de los servicios
ofrecidos por TI.
5.1.5 MÉTODO SELECCIONADO
Habiendo identificado los responsables y clientes de los procesos de TI, se
aprecia que sería más efectivo aplicar una entrevista a todo el personal del
departamento de TI, por los siguientes fundamentos:
Representan la totalidad de la población que se requiere medir
Son un grupo reducido
La interacción directa permitirá mitigar cualquier confusión que genere la
entrevista
La entrevista puede ser aplicada como un cuestionario, definido en base al
Modelo de Madurez, las variables y los criterios de medición que COBIT
requiere obtener para medir el grado de los procesos. Entonces se aplicarán
entrevistas a los responsables de los procesos de TI.
64 Ing. Julio César Becerra Lino
5.1.6 DEFINICIÓN DE VARIABLES
El objetivo de estudiar y entender el marco de referencia y el Modelo de
Madurez de COBIT, es determinar y medir el grado de madurez de los 37
procesos a través de la aplicación del Modelo de Madurez.
En secciones anteriores se definió que el Modelo de Madurez de COBIT
identifica 6 niveles de madurez para cada proceso que se miden desde 0 hasta
5, que se describen a continuación:
Figura N° 18: Atributos Genéricos de Capacidad de Procesos36
En conclusión la variable a ser medida es “el grado de madurez de los 37
procesos de gobierno y gestión de COBIT”. Se obtendrán 37 mediciones
que equivalen a los grados de madurez de cada proceso. Para este caso,
36 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 19-Resumen del Modelo Capacidad de Procesos de
Cobit 5 © 2012 ISACA®
65 Ing. Julio César Becerra Lino
COBIT ya brinda los rangos de valores (0 a 5) que puede tener estas variables.
Para poder efectuar la medición del grado de madurez se utilizarán las Guías
de administración definidas en el marco de referencia COBIT.
5.1.7 CATEGORIZACIÓN DEL GRADO DE MADUREZ COMO
VARIABLE
A continuación se describe el tipo de variable que se asocia con el grado de
madurez de un proceso en COBIT. Para este proyecto, se definirá que el grado
de madurez puede tener un valor de cero hasta cinco. Esto nos indica que el
grado de madurez es una variable cuantitativa que puede ser calculada
mediante el uso de técnicas matemáticas o estadísticas.
También es necesario indicar que el grado de madurez es una variable
continua, ya que está dentro de un rango y no dentro de una escala, propia de
una variable discreta. Finalmente el grado de madurez puede tener valores
dentro de un universo considerado como finito, ya que no podrá tener un valor
menor a cero, o mayor a cinco. En resumen el grado de madurez tiene las
siguientes características:
Es una variable cuantitativa
Es una variable entera (No real)
Es una variable continua
Pertenece a un Universo finito (mayor o igual a cero y menor o
igual a cinco)
66 Ing. Julio César Becerra Lino
5.2 CASCADA DE METAS
En las investigaciones realizadas por los creadores de COTIB 5, recopilan
metas generales de las empresas y metas generales de tecnología de la
información y las proponen a las empresas como guía de referencias.
El estudio de procesos del departamento de TI, se inicia con la definición de la
estrategia de negocio mediante los objetivos estratégicos de la empresa,
seguidamente se procede a identificar las preocupaciones del negocio sobre TI
de este análisis se obtiene las metas del negocio que tiene relación con las
metas corporativas.
A continuación se realiza el análisis de la relación que existe entre las metas
corporativas propuestas por COBIT5 de manera priorizada con las metas de TI,
obteniendo como resultado las metas TI priorizadas que requiere la empresa,
para determinar el modelo, se analiza la relación que existe entre las metas de
TI priorizadas y los 37 procesos propuestos por COBIT 5.
En resumen, en base a las metas del negocio y metas de TI, se identifican y
priorizan los procesos que TI debe implementar para generar valor a la
empresa, optimizando recursos y riesgos.
67 Ing. Julio César Becerra Lino
5.2.1 CONOCER LOS OBJETIVOS DE LA EMPRESA
Para la mayoría de las empresas, las estrategias del negocio están definidas
por los objetivos que se plantean, GRANOS no es la excepción y a continuación
se listas los objetivos propuestos para así poder alcanzar sus metas:
ID Metas de Negocio: Objetivos Empresariales Granos
OBJ01 Incrementar las utilidades de la empresa
OBJ02 Lograr objetivos de ventas
OBJ03 Promover la eficiencia a través de procesos adecuados
OBJ04 Cumplir, o cuando sea, posible, rebasar las exigencias del cliente
OBJ05 Capacitar al personal para trabajar con eficiencia y calidad
OBJ06 Incrementar la participación del mercado local e internacional
Cuadro N° 4: Objetivos empresariales de Granos
Estos 6 objetivos de alguna manera están alineados con el cuadro de mando
integral (CMI)37 con respecto a las metas financieras, metas de cliente, metas
internas y metas de aprendizaje y crecimiento.
Lo anterior nos permite enmarcar los objetivos empresariales en base a lo
propuesto por el cuadro de mando integral (CMI):
CMI Objetivos de negocios
Financieras
Incrementar las utilidades de la empresa
Lograr objetivos de ventas
Cliente Cumplir, o cuando sea, posible, rebasar las exigencias del
cliente
Interna Promover la eficiencia a través de procesos adecuados
Aprendizaje y
Crecimiento
Capacitar al personal para trabajar con eficiencia y calidad
Incrementar la participación del mercado local e internacional
Cuadro N° 5: Metas corporativas
37 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 4-Visión General de la Cascada de Metas de COBIT
5©2012ISACA®
68 Ing. Julio César Becerra Lino
5.2.2 PRIORIZAR METAS DEL NEGOCIO
Para la realización del análisis y obtención de las metas corporativas que
requiere Granos, se considera que para cada una de sus metas estratégicas de
negocio se define la escala de calificación siguiente:
Primaria (P): cuando su meta de negocio tiene una relación directa con la meta
genérica de COBIT, asegurándose que exista al menos una P en cada fila
horizontal. En este análisis y para facilitar las conclusiones de forma
cuantitativa, se define que P es igual a 2.
Secundaria (S): cuando su meta de negocio tiene una relación indirecta con la
meta genérica de COBIT. En este análisis y para facilitar las conclusiones de
forma cuantitativa, se define que S es igual a 1.
Vacío (V): cuando su meta de negocio no tiene relación alguna con la meta
genérica de COBIT. En este análisis y para facilitar las conclusiones de manera
cuantitativa, se define que V es igual a 0.
COBIT 5, en sus prácticas de cascada de metas propone una valoración
cualitativa de “P”, “S” y “Vacío”, pero a pedido de la Gerencia de TI y la
Gerencia Comercial, se utilizará los valores enteros de “2”, “1” y “0”
respectivamente para obtener una valoración cuantitativa y lograr una mejor
interpretación del mapeo de metas.
69 Ing. Julio César Becerra Lino
La escala de calificación, está dada en base al total máximo que se puede
alcanzar por la sumatoria de los resultados con el máximo valor que se les
pueda asignar (siendo 2 el máximo valor) y solo se van a considerar como
metas priorizadas aquellas que se encuentren en el rango de calificaciones de
la mitad hacia arriba del total máximo, las que se encuentren de la mitad hacia
abajo no serán consideradas.
P = Primaria = 2
S = Secundaria = 1
V = Vacío = 0
Total Máximo = número
Meta considerada = número mayor a la media
Mitad hacia arriba = mayor número desde la media
Mitad hacia abajo = menor número desde la media
La escala de calificación definida anteriormente, se utiliza en todas las matrices
de análisis de cascada de metas que propone COBIT 5.
70 Ing. Julio César Becerra Lino
Escala de medición para la priorización de las “Metas Corporativas”
Total Máximo = 12
Meta considerada = 6 + (Mayor a la media considerada)
Mitad hacia arriba = 7 a 12
Mitad hacia abajo = 0 a 6
En conclusión, en la columna de las metas de negocio se escriben los seis
objetivos propuestos por Granos y se analiza de forma individual con relación a
las diecisiete metas corporativas del modelo de procesos de COBIT 538. La
recomendación de COBIT es mantener un número razonable de metas
estratégicas de negocio debido a que si son más de 10, probablemente algunas
se estén duplicando u otras no sean necesariamente estratégicas y tengan un
enfoque más táctico o de detalle. Sin embargo, de ser el caso depende de la
compañía el procesamiento de todas sus metas definidas.
Para obtener los datos del Cuadro Nro. 6 que se puede ver en el Anexo Nro. 2,
se hicieron reuniones con las personas que ocupan los siguientes cargos, esto
por recomendación del Gerente Comercial.
Gerente Comercial
Jefe de Comercialización
Jefe de Exportación
Jefe de Control de Calidad
Jefe de Finanzas
Jefe de Producción
38 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura –Metas Corporativas de Cobit 5 © 2012 ISACA®
71 Ing. Julio César Becerra Lino
METAS CORPORATIVAS COBIT 5
Valo
r para
las p
art
es inte
resadas d
e la
s in
vers
iones d
e N
egocio
.
Cart
era
de p
roducto
s y
serv
icio
s c
om
petitivos.
Rie
sgos d
e n
egocio
s g
estio
nados (
salv
aguard
a los a
ctivos)
Cum
plim
iento
de leyes y
regula
cio
nes e
xte
rnas
Tra
nspare
ncia
fin
ancie
ra.
Cultura
de s
erv
icio
orie
nta
da a
l clie
nte
.
Contin
uid
ad y
dis
ponib
ilidad d
el serv
icio
de n
egocio
.
Respuesta
s á
gile
s a
un e
nto
rno d
e n
egocio
cam
bia
nte
.
To
ma e
str
até
gic
a d
e d
ecis
iones b
asada e
n info
rma
ció
n.
Optim
izació
n d
e c
osto
s d
e e
ntr
ega d
e s
erv
icio
s.
Optim
izació
n d
e la
funcio
nalid
ad d
e lo
s p
rocesos d
e n
egocio
.
Optim
izació
n d
e lo
s c
osto
s d
e los p
rocesos d
e n
egocio
.
Pro
gra
ma
s g
estio
nados d
e c
am
bio
en e
l negocio
Pro
ductivid
ad o
pera
cio
nal y d
e lo
s e
mp
leados
Cum
plim
iento
con las p
olíticas inte
rnas.
Pers
onas p
repara
das y
mo
tivadas.
Cultura
de in
novació
n d
el pro
ducto
y d
el negocio
.
ID 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
ID
Metas del Negocio: Objetivos
Empresariales de Granos
FINANCIERAS
CLIENTE
INTERNA
A&C
OBJ01 Incrementar las utilidades de la empresa 2 1 0 0 0 1 2 2 2 2 1 2 1 1 0 2 2
OBJ02 Lograr objetivos de ventas 2 2 0 0 0 2 2 2 2 2 0 2 0 2 0 2 2
OBJ03 Cumplir, o cuando sea, posible, rebasar
las exigencias del cliente
2 2 0 0 0 0 2 2 2 0 0 0 0 0 0 0 2
OBJ04 Promover la eficiencia a través de
procesos adecuados
2 2 0 0 0 0 2 2 2 0 0 2 0 0 0 0 2
OBJ05 Capacitar al personal para trabajar con
eficiencia y calidad
2 2 0 1 2 1 1 2 2 0 2 2 1 2 0 2 2
OBJ06 Incrementar la participación del mercado
local e internacional
2 2 0 2 1 2 2 2 2 1 0 0 2 2 0 1 2
PUNTUACIÓN 12
11
0 3 3 6 11
12
12
5 3 8 4 7 0 7 12
Cuadro N° 6: Metas de negocios de Granos vs Metas corporativas de COBIT 5
En la siguiente tabla se muestra las metas corporativas que han sido
priorizadas en base a la puntuación obtenida del análisis realizado, que es la
sumatoria de la calificación de cada meta corporativa.
72 Ing. Julio César Becerra Lino
CMI ID Metas de Negocio: Objetivos Empresariales Granos
Financieras 1 Valor para las partes interesadas de las inversiones de Negocio.
2 Cartera de productos y servicios competitivos.
Cliente 7 Continuidad y disponibilidad del servicio de negocio.
8 Respuestas ágiles a un entorno de negocio cambiante.
9 Toma estratégica de decisiones basada en información.
Interna 12 Optimización de los costos de los procesos de negocio
14 Productividad operacional y de los empleados
Aprendizaje y
Crecimiento
16 Personas preparadas y motivadas.
17 Cultura de innovación del producto y del negocio.
Cuadro N° 7: Metas de negocios, Objetivos Empresariales Granos
5.2.3 PRIORIZAR METAS DE TI
Para priorizar las metas de TI, se necesita realizar un estudio a partir de las
metas corporativas obtenidas en el punto anterior (Cuadro Nro. 7) y valorarlas
en relación con las 17 metas de TI propuestas por COBIT 5. Para encontrar las
metas de TI en base a las metas corporativas de TI priorizadas, se utiliza el
mismo método de calificación descrita en el punto anterior, considerando que la
métrica usada está dada en base al total máximo que se puede alcanzar entre
el número de metas corporativas resultantes, y tomando en cuenta las metas
que se encuentren en el rango de calificación de la mitad hacia arriba, y las
metas que se encuentren de la mitad hacia abajo no son consideradas, estas
últimas solo pueden ser consideradas si en base al análisis interno, son metas
que Granos necesita trabajar para alcanzar las metas estratégicas.
Para obtener los datos del Cuadro Nro. 8 que se puede ver en el Anexo Nro. 3,
se hicieron reuniones con las personas que ocupan los siguientes cargos, esto
por recomendación del Gerente Comercial: Jefe de Comercialización, Jefe de
Exportación, Jefe de Control de Calidad y todo el equipo del departamento de
TI.
73 Ing. Julio César Becerra Lino
Escala de medición para la priorización de las “Metas de TI”
Total Máximo = 18
Meta considerada = 9 + (Mayor a la media considerada)
Mitad hacia arriba = 10 a 18
Mitad hacia abajo = 0 a 9
74 Ing. Julio César Becerra Lino
METAS DE TI PROPUESTAS POR COBIT 5
Alin
ea
mie
nto
de
TI
y la
estr
ate
gia
de n
ego
cio
Cum
plim
iento
y s
op
ort
e d
e la T
I al cu
mplim
iento
del n
eg
ocio
de las leyes y
reg
ula
cio
nes
exte
rnas
Com
pro
mis
o d
e la
dir
ecció
n e
jecutiva
para
to
ma
r d
ecis
ione
s r
ela
cio
na
da
s c
on T
I
Rie
sg
os d
e n
eg
ocio
rela
cio
na
dos c
on las T
I g
estiona
dos
Realiz
ació
n d
e b
en
eficio
s d
el p
ort
afo
lio d
e I
nvers
ione
s y
Serv
icio
s r
ela
cio
nad
os c
on
las T
I
Tra
nspare
ncia
de los c
oste
s, b
en
eficio
s y
rie
sg
os d
e las T
I
Entr
ega
de
se
rvic
ios d
e T
I d
e a
cu
erd
o a
los r
equis
itos d
el ne
gocio
Uso a
decua
do d
e a
plic
acio
ne
s, in
form
ació
n y
solu
cio
nes t
ecnoló
gic
as
Agili
da
d d
e las T
I
Segu
rid
ad d
e la in
form
ació
n, in
fra
estr
uctu
ra d
e p
rocesam
iento
y a
plic
acio
nes
Optim
izació
n d
e a
ctivos,
recurs
os y
ca
pacid
ad
es d
e las T
I
Capa
citació
n y
so
po
rte
de p
rocesos d
e n
egocio
inte
gra
ndo
aplic
acio
nes y
tecn
olo
gía
en
pro
ce
sos d
e n
egocio
Entr
ega
de
Pro
gra
mas q
ue
pro
porc
ion
en b
en
eficio
s a
tie
mp
o,
den
tro d
el p
resupu
esto
y
satisfa
cie
nd
o los r
equis
itos y
norm
as d
e c
alid
ad.
Dis
po
nib
ilid
ad d
e info
rmació
n ú
til y r
ele
vante
para
la
to
ma d
e d
ecis
iones
Cum
plim
iento
de la
s p
olíticas in
tern
as p
or
pa
rte
de las T
I
Pers
onal del ne
gocio
y d
e las T
I co
mpe
tente
y m
otiva
do
Cono
cim
iento
, exp
erie
ncia
e inic
iativas p
ara
la
inn
ova
ció
n d
e n
eg
ocio
ID
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
ID
Metas Corporativas
FINANCIERAS
CLI.
INTERNA
A&C
1 Valor para las partes interesadas de las
inversiones de Negocio.
2 2 2 2 2 2 2 0 1 0 1 0 0 2 0 0 2
2 Cartera de productos y servicios
competitivos.
2 0 2 0 1 0 2 2 2 0 0 1 0 2 0 2 2
7 Continuidad y disponibilidad del servicio de
negocio.
2 0 2 2 0 0 2 0 2 0 2 1 0 2 0 1 0
8 Respuestas ágiles a un entorno de negocio
cambiante
1 2 1 0 0 0 1 2 2 0 2 0 2 2 1 0 1
9 Toma estratégica de decisiones basada en
información.
2 0 2 0 2 0 1 2 2 0 2 0 2 2 0 1 0
12 Optimización de los costos de los procesos
de negocio
2 0 2 1 1 2 1 0 0 0 2 2 2 1 1 1 1
14 Productividad operacional y de los
empleados
2 2 2 0 0 0 2 2 2 2 2 2 2 2 2 2 2
16 Personas preparadas y motivadas. 0 1 0 2 1 0 2 2 2 1 2 2 2 0 2 2 2
17 Cultura de innovación del producto y del
negocio.
2 0 1 0 1 0 1 0 1 0 0 0 2 0 0 1 2
PUNTUACIÓN 15
7 14
7 8 4 14
10
14
3 13
8 12 13 6 10
12
Cuadro N° 8: Metas corporativas COBIT 5 vs Metas de TI COBIT 5
75 Ing. Julio César Becerra Lino
Del estudio que se realiza en relación a las Metas corporativas priorizadas y a
las 17 metas de TI que propone COBIT, se obtiene como resultado las
siguientes 10 metas que se consideran relevantes en el análisis, representando
una guía para la selección de los procesos que se deben fortalecer, a
continuación se las exponen en el siguiente cuadro:
CMI ID Metas de TI Relevantes
Financieras 1 Alineamiento de TI y la estrategia de negocio
3 Compromiso de la dirección ejecutiva para tomar decisiones
relacionadas con TI
Cliente 7 Entrega de servicios de TI de acuerdo a los requisitos del
negocio
8 Uso adecuado de aplicaciones, información y soluciones
tecnológicas
Interna 9 Agilidad de las TI
11 Optimización de activos, recursos y capacidades de las TI
13 Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad.
14 Disponibilidad de información útil y relevante para la toma de
decisiones
Aprendizaje y
Crecimiento
16 Personal del negocio y de las TI competente y motivado
17 Conocimiento, experiencia e iniciativas para la innovación de
negocio
Cuadro N° 9: Metas de TI Relevantes
Hasta aquí, ya contamos con la priorización de las metas del negocio y las
metas de TI, a continuación vamos a realizar un análisis de las metas de TI
priorizadas con los 37 procesos de COBIT para así poder priorizar los procesos
de TI que realmente interesan al negocio para el logro de sus objetivos
propuestos.
76 Ing. Julio César Becerra Lino
5.2.4 PRIORIZAR LOS PROCESOS DEL NEGOCIO PROPUESTO POR
COBIT
De los 37 procesos que se encuentran en la clasificación mencionada por
COBIT, se realiza el análisis de los procesos que requiere implementar la
empresa GRANOS, para lo cual se utiliza el mismo método de calificación
descrito en el análisis anterior. En el análisis siguiente, se utilizan las 10 metas
de TI priorizadas versus los 37 procesos habilitantes propuesto por COBIT 5.
Escala de medición para la priorización de los “Procesos de COBIT 5”
Total Máximo = 20
Meta considerada = 10 + (Mayor a la media considerada)
Mitad hacia arriba = 11 a 20
Mitad hacia abajo = 0 a 10
Para obtener los datos del Cuadro Nro. 10 que se puede ver en el Anexo Nro. 4,
se hicieron reuniones con todo el equipo del departamento de TI.
77 Ing. Julio César Becerra Lino
Empresa: Granos
Metas de TI Relevantes
Alin
ea
mie
nto
de
TI
y la
estr
ate
gia
de n
ego
cio
Com
pro
mis
o d
e la
dir
ecció
n e
jecutiva
para
to
ma
r d
ecis
ione
s
rela
cio
nad
as c
on T
I
Entr
ega
de
se
rvic
ios d
e T
I d
e a
cu
erd
o a
los r
equis
itos d
el ne
gocio
Uso a
decua
do d
e a
plic
acio
ne
s, in
form
ació
n y
solu
cio
nes t
ecnoló
gic
as
Agili
da
d d
e las T
I
Optim
izació
n d
e a
ctivos,
recurs
os y
ca
pacid
ad
es d
e las T
I
Entr
ega
de
Pro
gra
mas q
ue
pro
porc
ion
en b
en
eficio
s a
tie
mp
o,
den
tro
del pre
sup
uesto
y s
atisfa
cie
ndo los r
eq
uis
itos y
norm
as d
e c
alid
ad.
Dis
po
nib
ilid
ad d
e info
rmació
n ú
til y r
ele
vante
para
la
to
ma d
e
decis
ione
s
Pers
onal del ne
gocio
y d
e las T
I co
mpe
tente
y m
otiva
do
Cono
cim
iento
, exp
erie
ncia
e inic
iativas p
ara
la
inn
ova
ció
n d
e n
eg
ocio
SECTOR 1 3 7 8 9 11 13 14 16 17
ID
PROCESOS
FINANCIERAS
CLIENTE
INTERNA
A&C
Tot.
Evalu
ar,
Ori
en
tar
y S
up
erv
isar
EDM01 Asegurar el establecimiento y mantenimiento del Marco de Gobierno
2 2 2 1 2 1 2 2 2 1 17
EDM02 Asegurar la Entrega de Beneficios 2 2 2 2 1 1 2 0 1 2 15
EDM03 Asegurar la Optimización de Riesgos
1 1 1 2 2 2 1 0 0 0 10
EDM04 Asegurar la Optimización de los Recursos
1 2 2 1 2 2 1 2 2 1 16
EDM05 Asegurar la transparencia hacia las partes Interesadas
1 2 2 1 1 1 0 2 0 0 10
Alin
ear,
Pla
nif
icar
y O
rgan
izar
APO01 Gestionar el Marco de Gestión de TI
2 2 2 1 2 2 1 1 2 2 17
APO02 Gestionar la Estrategia 2 1 2 1 1 2 2 1 1 2 15
APO03 Gestionar la Arquitectura Empresarial
2 2 1 0 1 2 0 1 0 0 9
APO04 Gestionar la Innovación 1 1 0 2 2 1 0 0 1 2 10
APO05 Gestionar el Portafolio 2 1 1 0 0 1 2 1 0 0 8
APO06 Gestionar el Presupuesto y los costos
2 2 1 0 1 0 2 1 0 0 9
APO07 Gestionar los Recursos Humanos 2 1 1 0 1 2 2 1 2 2 14
APO08 Gestionar las Relaciones 1 1 1 1 1 1 1 1 1 1 10
APO09 Gestionar los acuerdos de Servicio
2 2 2 1 1 1 2 2 0 0 13
APO10 Gestionar los Proveedores 2 1 2 1 2 1 1 0 0 0 10
APO11 Gestionar la Calidad 2 1 2 2 0 1 1 0 0 0 9
APO12 Gestionar el Riesgo 1 2 0 2 0 0 2 1 1 0 9
APO13 Gestionar la Seguridad 1 1 2 1 0 1 2 1 0 0 9
78 Ing. Julio César Becerra Lino
Co
nstr
uir
, A
dq
uir
ir e
Im
ple
me
nta
r
BAI01 Gestionar los Programas y Proyectos
2 2 2 0 1 2 2 0 2 1 14
BAI02 Gestionar la Definición de Requisitos
2 1 2 0 0 1 0 1 1 0 8
BAI03 Gestionar la Identificación y la Construcción de Soluciones
2 1 2 0 1 0 1 1 0 0 8
BAI04 Gestionar la Disponibilidad y la Capacidad
1 1 2 1 1 2 0 2 0 0 10
BAI05 Gestionar la Introducción de cambios Organizativos
1 2 1 2 0 0 2 0 1 1 10
BAI06 Gestionar los Cambios 2 1 2 2 1 0 0 1 0 1 10
BAI07 Gestionar la Aceptación del Cambio y de la Transición
1 1 2 2 1 0 1 0 1 0 9
BAI08 Gestionar el Conocimiento 1 1 1 2 2 0 1 1 0 1 10
BAI09 Gestionar los Activos 2 1 2 0 0 1 1 1 0 0 8
BAI10 Gestionar la Configuración 1 1 1 1 0 2 1 2 1 0 10
En
tre
gar,
dar
Serv
icio
y S
op
ort
e
DSS01 Gestionar las Operaciones 2 2 2 1 0 2 1 2 2 1 15
DSS02 Gestionar las Peticiones y los Incidentes del Servicio
2 2 2 1 1 0 1 1 0 0 10
DSS03 Gestionar Los Problemas 2 2 2 1 1 2 1 2 2 0 15
DSS04 Gestionar la Continuidad 1 1 2 0 1 0 1 2 1 1 10
DSS05 Gestionar los Servicios de Seguridad
1 1 2 1 1 1 0 1 0 0 8
DSS06 Gestionar los controles de los procesos del Negocio
1 1 2 0 1 1 1 1 1 0 9
Su
perv
isar,
Ev
alu
ar
y V
alo
rar
MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad
2 2 2 1 1 2 1 1 2 1 15
MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno
2 1 0 1 0 1 1 0 2 0 8
MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos
1 1 1 1 1 1 1 1 1 1 10
Cuadro N° 10: Priorización de procesos acorde a las metas de TI relevantes
79 Ing. Julio César Becerra Lino
Nro.
Dominio
ID
Procesos priorizados
Total Calificación
1
Evaluar, Orientar y Supervisar
EDM01
Asegurar el establecimiento y mantenimiento del Marco de Gobierno
17
2
EDM02
Asegurar la Entrega de Beneficios 15
3
EDM04
Asegurar la Optimización de los Recursos 16
4
Alinear, Planificar y Organizar
APO01
Gestionar el Marco de Gestión de TI 17
5
APO02
Gestionar la Estrategia 15
6
APO07
Gestionar los Recursos Humanos 14
7
APO09
Gestionar los acuerdos de Servicio 13
8
APO10
Gestionar los Proveedores 10
9
Construir, Adquirir e Implementar
BAI01
Gestionar los Programas y Proyectos 14
10
Entregar, dar Servicio y Soporte
DSS01
Gestionar las Operaciones 15
11
DSS03
Gestionar Los Problemas 15
12
DSS02
Gestionar las Peticiones y los Incidentes del Servicio
10
13
Supervisar, Evaluar y Valorar
MEA01
Supervisar, Evaluar y Valorar Rendimiento y Conformidad
15
Cuadro N° 11: Procesos priorizados acorde a las metas de TI relevantes
80 Ing. Julio César Becerra Lino
5.2.5 CONCLUSIONES Y RECOMENDACIONES DEL ANÁLISIS DE
CASCADA DE METAS.
Como resultado del análisis de cascada de metas, se han identificado a 11
procesos como relevantes para el departamento de TI, estos se pueden
observar en el Cuadro N°10 en el punto anterior, sin embargo a pedido de la
Jefatura de TI y por considerarlos también importantes se han incluido 2
procesos más, que si bien es cierto que no están dentro de la priorización, si
son necesarios para la ejecución de actividades que requiere la empresa, para
lo cual COBIT recomienda, que de darse el caso que exista procesos relevantes
para la consecución de metas estratégicas empresariales y que no se
encuentren en el análisis realizado, se puede considerar el o los procesos
necesarios39, para el caso de la empresa Granos se considera dos procesos
adicionales que son: Gestionar los proveedores (APO10) y Gestionar las
peticiones y los incidentes de servicios (DSS02), en total suman 13 procesos
que se han priorizado para su pronta implementación en la empresa Granos.
La lista oficial de los 13 procesos relevantes, priorizados por el análisis de
cascada de metas para el departamento de TI, se la puede ver en el cuadro
N°11 expuesto anteriormente.
El análisis de cascada de metas es muy útil, ya que nos ayuda a identificar y
priorizar los procesos más importantes del departamento de TI, seguidamente
vamos a tener que evaluar estos procesos y así poder determinar su estado
actual, para luego poder definir métodos y estrategias de mejoramiento y
actualización, de manera tal que estos sean efectivos y eficientes para el fin que
fueron creados. Para realizar este análisis vamos a utilizar el método de
evaluación del grado de madurez para los procesos de TI propuesto por COBIT
5.
39 Fuente: COBIT® 5 Framework-Spanish.pdf, Utilizar la Cascada de Metas Cobit 5 Cuidadosamente,
Pág. Nro. 16 © 2012 ISACA®
81 Ing. Julio César Becerra Lino
5.3 EVALUACIÓN DEL GRADO DE MADUREZ DE PROCESOS DE TI
En el Cuadro Nro. 11, anteriormente expuesto, se exponen los 13 procesos
priorizados a estudiar, para así poder determinar el grado de madurez de estos
procesos priorizados del departamento de TI, sin embargo como se quiere tener
una visión más amplia, la jefatura de TI ha recomendado evaluar los 37
procesos de COBIT 5 y de esta manera evaluar el grado de madurez de todos
los procesos de TI que propone COBIT.
5.3.1 DEFINICIÓN DE INDICADORES DE ÉXITO PARA LOS
DOMINIOS DE COBIT 5.0
Antes de empezar la evaluación de procesos, la Gerencia Comercial y la
Gerencia de TI tienen algunas expectativas sobre los resultados a obtener,
esperando que estos con la mejora de procesos, por lo menos alcancen un
“Nivel 3” y en lo posible logren un “Nivel 4”. El “Nivel 5: Optimizado”, no será
considerado porque todavía no es objetivo de estas gerencias.
Para determinar las brechas existentes de los procesos han acordado definir los
siguientes indicadores de éxito para la evaluación:
Nivel “Mínimo aceptable”: El nivel que, sin ser necesariamente el
óptimo deseado, al menos asegura cubrir las expectativas mínimas.
Nivel Mínimo aceptable acordado: 3
Nivel “óptimo”: Es el nivel que corresponde a la más alta expectativa de
la gerencia de la empresa.
Nivel Óptimo acordado: 4
82 Ing. Julio César Becerra Lino
Luego de la revisión realizada de los diferentes procesos de COBIT 5
obtendremos el “nivel observado”, y para considerarlo como indicador de éxito
este deberá ser igual o superior al valor del nivel “mínimo aceptable acordado”.
Es importante mencionar que está definición se basa en los atributos genéricos
de capacidad de procesos40, y según lo acordado y definido por Granos, el nivel
mínimo aceptable acordado es 3, que específica tener procesos definidos y
gestionados usando procesos definidos y estableciendo bajo políticas y
procedimientos documentados, formalizados, aprobados y difundidos a toda la
organización.
Figura N° 19: Atributos Genéricos de Capacidad de Procesos41
5.3.2 DETERMINACIÓN DE LOS NIVELES DE MADUREZ PARA
CADA PROCESO DE LOS DOMINIOS DE COBIT 5.0
La determinación de niveles de madurez para cada proceso de los cinco
dominios de COBIT 5 en la empresa Granos nos permite identificar y ubicar qué
tipo de proceso se está gestionando y llevando a cabo en la organización. Cabe
señalar que para esta identificación se hizo a través de reuniones y entrevistas
con todo el personal del departamento de TI de la empresa.
40 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 19-Resumen del Modelo Capacidad de Procesos de
Cobit 5 © 2012 ISACA® 41 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 19-Resumen del Modelo Capacidad de Procesos de
Cobit 5 © 2012 ISACA®
83 Ing. Julio César Becerra Lino
5.3.3 DETERMINACIÓN DE BRECHAS PARA CADA ACTIVIDAD DE
LOS PROCESOS DE COBIT 5.0
Una vez identificado el nivel de madurez para cada proceso de los cinco
dominios de COBIT determinamos las brechas existentes para cada uno de los
procesos de COBIT. Es decir, determinamos para cada proceso evaluado si la
diferencia de la situación actual observada respecto al nivel mínimo acordado
(nivel que, sin ser necesariamente el óptimo deseado, al menos asegura cubrir
los requerimientos clave del negocio) es mínima, moderada o significativa. Para
la definición e identificación de niveles de madurez y brechas se ha aplicado la
escala de PAM (Process Assessment Model)42 bajo los siguientes criterios
detallados a continuación:
42 http://www.isaca.org/COBIT/Pages/COBIT-5-PAM.aspx
84 Ing. Julio César Becerra Lino
Nivel Observado (NO)
Nivel Mínimo Aceptable
(NMA)
Definición de
Brechas
Nivel 0 Incompleto
El proceso no está implementado o no alcanza su propósito. A este nivel, hay muy poca o ninguna evidencia de ningún logro sistemático del propósito del proceso.
3
Si NMA – NO = 3
Brecha
significativa
Nivel 1 Ejecutado
El proceso implementado alcanza su propósito.
3
Si NMA – NO = 2
Brecha moderada
Nivel 2 Administrado
El proceso ejecutado descrito anteriormente está ya implementado de forma gestionada (planificado, supervisado y ajustado) y los resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente.
3
Si NMA – NO = 1
Brecha moderada
Nivel 3 Establecido
El proceso gestionado descrito anteriormente está ahora implementado usando un proceso definido que es capaz de alcanzar sus resultados de proceso.
3
Si NMA – NO <= 0
Brecha mínima
Nivel 4 Predecible
El proceso establecido descrito anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso.
3
Si NMA – NO <= 0
Brecha mínima
Nivel 5 Optimizado
El proceso predecible descrito anteriormente es mejorado de forma continua para cumplir con las metas empresariales presentes y futuros.
3
Si NMA – NO <= 0
Brecha mínima
Cuadro N° 12: Criterios de evaluación y determinación de brechas
85 Ing. Julio César Becerra Lino
5.4.3 DETERMINACIÓN DE NIVELES DE MADUREZ Y BRECHAS
EXISTENTES EN EL DEPARTAMENTO DE TI
5.4.3.1 GOBIERNO: EVALUAR, ORIENTAR Y SUPERVISAR
EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno
Área: Gobierno Dominio: Evaluar, Orientar y Supervisar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Analiza y articula los requerimientos para el gobierno de TI de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadores, con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa.
Observaciones: No existe un sistema de gobierno de TI. Los beneficios y riesgos de las
soluciones proporcionadas a los usuarios se reconocen de manera intuitiva.
No existe un modelo estratégico de toma de decisiones para que las TI sean efectivas y estén alineadas al negocio.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir el plan estratégico de TI
EDM02 Asegurar la Entrega de Beneficios
Área: Gobierno Dominio: Evaluar, Orientar y Supervisar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Optimizar la contribución al valor del negocio desde los procesos de negocio, de los servicios TI y activos de TI resultado de la inversión hecha por TI a unos costes aceptables.
Observaciones: No existe una gestión de presupuesto. No se proyectan ni controlan beneficios
de las inversiones. En los proyectos individuales si se realiza
una gestión de presupuestos pero no se gestionan los beneficios.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir el plan estratégico de TI
86 Ing. Julio César Becerra Lino
EDM03 Asegurar la Optimización del Riesgo
Área: Gobierno Dominio: Evaluar, Orientar y Supervisar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.
Observaciones: El Departamento de TI es conciente de los riesgos que está expuesto, sin embargo, no se ha tomado ninguna acción ante los mismos.
No se ha hecho una identificación de riesgos.
No existe un estudio del impacto que tienen los riesgos de TI con los objetivos de la organización.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir el plan estratégico de TI
EDM04 Asegurar la Optimización de Recursos
Área: Gobierno Dominio: Evaluar, Orientar y Supervisar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.
Observaciones: No se cuenta con una clasificación actualizada de los recursos de TI.
No existe una asignación ni gestión de presupuesto.
Las aprobaciones de nuevos proyectos y cualquier otra inversión, se las realiza desde la Gerencia Comercial, del cual depende el departamento de TI.
No existe un plan de capacitación para el personal.
No existe un sistema de medición de capacidades para el personal.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir el plan estratégico de TI
87 Ing. Julio César Becerra Lino
5.4.3.2 DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR
EDM05 Asegurar la Transparencia hacia las Partes Interesadas
Área: Gobierno Dominio: Evaluar, Orientar y Supervisar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de TI de la empresa son transparentes, con aprobación por parte de las partes interesadas de las metas, las métricas y las acciones correctivas necesarias.
Observaciones: No existe un sistema de encuestas u otro tipo de sondeo, para poder captar las conformidades o desconformidades de los clientes finales sobre los servicios que brinda el departamento de TI.
No existe un sistema de elaboración de informes en cuanto al desempeño del departamento de TI.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir el plan estratégico de TI
APO01 Gestionar el Marco de Gestión de TI
Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.
Observaciones: No existen políticas, ni procedimientos bien definidos ni documentados en el departamento de TI, a pesar de que existe el reconocimiento de la importancia y necesidad de los mismos.
No se cuenta con un plan estratégico de TI alineado con el de la empresa.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir el plan estratégico de TI Definir Políticas y Procedimientos de TI
88 Ing. Julio César Becerra Lino
APO02 Gestionar la Estrategia Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos.
Observaciones: No existe ningún plan para gestionar estrategias del departamento de TI que sirvan de apoyo ante cualquier eventualidad.
No existe una adecuada comunicación de los objetivos y la visión actual del negocio para ser comprendida por todos, ya que se dan tareas con información específica sin una visión del todo.
Planes de Acción:
- Definir el modelo de Gobierno de TI - Definir el plan estratégico de TI
APO03 Gestionar la Arquitectura Empresarial
Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales como la reutilización de bloques de componentes para los procesos de construcción.
Observaciones: No existe una arquitectura común que contribuya en la realización de estrategias del departamento de TI.
No existe un estudio de los riesgos asociados al cambio de visión de una arquitectura
Planes de Acción:
Desarrollar el modelo de Arquitectura empresarial
Definir el modelo de Gobierno de TI
89 Ing. Julio César Becerra Lino
APO04 Gestionar la Innovación Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de empresa.
Observaciones: No existe un enfoque de innovación tecnológica.
Se innova en el departamento cuando existe alguna exigencia de algún requerimiento de parte de los usuarios.
Planes de Acción:
Definir el plan estratégico de TI Implementar Herramientas
Automatizadas de TI
90 Ing. Julio César Becerra Lino
APO05 Gestionar el Portafolio Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación. Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de fondos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los programas seleccionados al portafolio de servicios activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de programas y servicios o al cambio en las prioridades corporativas.
Observaciones: Se toman decisiones presupuestales enfocadas de modo reactivo y operativo.
Existe un portafolio de servicios de TI, al cual se lo maneja de forma improvisada. La organización reconoce la necesidad de administrar un portafolio de TI.
La asignación de responsabilidades para la selección de inversiones en TI y de desarrollo de presupuestos se lo hace solo para proyectos determinados.
Planes de Acción:
Definir el plan estratégico de TI Implementar Herramientas
Automatizadas de TI
APO06 Gestionar el Presupuesto y los Costes
Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Gestionar las actividades financieras relacionadas con las TI tanto en el negocio como en las funciones de TI, abarcando presupuesto, coste y gestión del beneficio, y la priorización del gasto mediante el uso de prácticas presupuestarias formales y un sistema justo y equitativo de reparto de costes a la empresa. Consultar a las partes interesadas para identificar y controlar los costes totales y los beneficios en el contexto de los planes estratégicos y tácticos de TI, e iniciar acciones correctivas cuando sea necesario.
Observaciones: No hay un procedimiento formal sobre la identificación de costos y sobre los procedimientos de asignación.
Hay conciencia general de la necesidad de identificar y asignar presupuestos y costos.
La asignación de costos está basada en suposiciones informales.
No está asignada la responsabilidad sobre la recopilación o la asignación de los costos.
Planes de Acción:
Definir el plan estratégico de TI Definir Políticas y Procedimientos de TI
91 Ing. Julio César Becerra Lino
APO07 Gestionar los Recursos Humanos
Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.
Observaciones: Existe personal en el área de TI, que si este recurso clave faltaría, no se tendría todo el conocimiento de sus funciones para mitigar algún riesgo en las operaciones a su cargo dentro del departamento de TI.
No existe un plan de capacitación/entrenamiento para el área de TI
Planes de Acción:
Difundir el enfoque de administración de proyectos.
Asegurar el entrenamiento y soporte a usuarios
Definir el modelo de Gobierno de TI
AP008 Gestionar las relaciones Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves.
Observaciones: Los roles y las responsabilidades no están difundidos ni reforzados.
Las relaciones entre el negocio y TI se basan en la confianza mutua.
Las actividades y funciones de TI son reactivas y se considera como una función de soporte, sin una perspectiva de negocio o estrategia.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir Políticas y Procedimientos de TI
92 Ing. Julio César Becerra Lino
AP009 Gestionar los acuerdos de servicio
Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.
Observaciones: No existen procedimientos para asegurar que los servicios de TI cubran las necesidades presentes y futuras de la empresa.
No existen acuerdos de niveles de servicio, por tal motivo no existen reportes, supervisión y procesos para el cumplimiento de los acuerdos de niveles de servicio.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI
APO10 Gestionar los Proveedores Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
Observaciones: Los contratos que tiene el departamento de TI con los proveedores de servicios son muy básicos y solo se indican condiciones estándares de los servicios que prestan.
El seguimiento a las soluciones y soporte que proporcionan los proveedores es muy informal.
Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio ya que poseen información muy general y solo se encuentran impresos en papel, los cuales son difíciles de gestionar para poder armar un reporte.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir Políticas y Procedimientos de TI
93 Ing. Julio César Becerra Lino
APO11 Gestionar la Calidad Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.
Observaciones: La alta dirección y el equipo de TI reconocen que un programa de calidad es necesario.
La organización carece de metodologías de calidad, por ejemplo no cuenta con una metodología de ciclo de vida de desarrollo de sistemas ni de aseguramiento de calidad en proyectos de TI.
La calidad de los proyectos y operaciones se revisa esporádicamente.
No existe documentación de los sistemas desarrollados internamente.
La mayoría de los sistemas adquiridos a proveedores externos no cuentan con su respectiva documentación.
Planes de Acción:
Difundir el enfoque de administración de proyectos
APO12 Gestionar el Riesgo Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
Observaciones: La administración de riesgos no se ha identificado como algo relevante para adquirir soluciones de TI y para prestar servicios de TI.
No existen evaluaciones de riesgos para los procesos y las decisiones del negocio.
La organización no toma en cuenta los impactos en el negocio asociados a las vulnerabilidades de seguridad.
La organización no toma en cuenta a las incertidumbres del desarrollo de proyectos.
Los procedimientos de pruebas de los sistemas se los hace de forma rudimentaria sin seguir un procedimeinto definido u alguna metodología.
Planes de Acción:
Definir el modelo de Gobierno de TI Implementar la gestión de riesgos de TI
94 Ing. Julio César Becerra Lino
5.4.3.3 DOMINIO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR
APO13 Gestionar la Seguridad Área: Gestión Dominio: Alinear, Planificar y Organizar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Observaciones: En la empresa el departamento de TI tiene establecido políticas de seguridad de la información.
No se cuenta con un sistema automatizado de monitoreo de aplicación de estas políticas y su revisión se la hace de forma manual.
No se cuenta con un sistema de reportes de infracciones a las políticas establecidas.
Planes de Acción:
Definir el modelo de Gobierno de TI Implementar la gestión de riesgos de TI Definir políticas y procedimientos de TI
BAI01 Gestión de Programas y Proyectos
Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.
Observaciones: Los procedimientos y metodologías de administración de proyectos de TI no han sido establecidos.
No se ha designado a un responsable sobre la administración de proyectos dentro de TI, con roles y responsabilidades definidas.
El departamento de TI es consciente de la necesidad de la administración de los proyectos de TI.
Los proyectos de TI no se monitorean, con cronogramas y mediciones de presupuesto y desempeño definidos y actualizados.
Planes de Acción:
Difundir el enfoque de administración de proyectos
95 Ing. Julio César Becerra Lino
BAI02 Gestionar la Definición de Requisitos
Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios. Coordinar con las partes interesadas afectadas la revisión de las opciones viables, incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los requerimientos y soluciones propuestas.
Observaciones: La adquisición y mantenimiento de hardware, software y servicios de TI, no se basa en ningún lineamiento definido que esté bien documentado y sea ampliamente conocido.
No existe un análisis previo de costos y beneficios antes de realizar la adquisición de un hardware, software o servicio de TI.
Planes de Acción:
Difundir el enfoque de administración de proyectos.
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI
BAI03 Gestionar la Identificación y Construcción de Soluciones
Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Establecer y mantener soluciones identificadas en línea con los requerimientos de la empresa que abarcan el diseño, desarrollo, compras/contratación y asociación con proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización de pruebas, gestión de requerimientos y mantenimiento de procesos de negocio, aplicaciones, datos/información, infraestructura y servicios.
Observaciones: Las soluciones se identifican de manera informal con base en la experiencia interna y en el conocimiento de la función de TI.
Se usan enfoques no estructurados para definir los requerimientos e identificar las soluciones tecnológicas.
Existen enfoques intuitivos para identificar soluciones de TI.
El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave.
Planes de Acción:
Difundir el enfoque de administración de proyectos
Definir el modelo de Gobierno de TI Implementar la gestión de riesgos de TI
96 Ing. Julio César Becerra Lino
BAI04 Gestionar la Disponibilidad y la Capacidad
Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados.
Observaciones: No existe una evaluación general de la capacidad de desempeño de TI.
Los responsables del negocio y la gerencia de TI están conscientes del impacto de no administrar el desempeño y la capacidad.
Se pueden diagnosticar problemas de desempeño y capacidad pero la realización de este diagnóstico depende de los conocimientos de personal clave del departamento de TI.
Los problemas de disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria y toma mucho tiempo diagnosticarlos y corregirlos.
Existe un limitado número de recursos de personas en el área de TI, los cuales están saturados sin tener disponibilidad de tiempo para la realización de este tipo de diagnóstico.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI
BAI05 Gestionar la Facilitación del Cambio Organizativo
Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Maximizar la probabilidad de la implementación exitosa en toda la empresa del cambio organizativo de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio y de TI.
Observaciones: No existe un análisis de riesgos en la implementación de algún cambio organizativo.
Los que juegan algún papel relacionado con un cambio están facultados para hacerlo en base a sus propias habilidades.
El deseo de cambio de las partes interesadas es entendido de manera específica.
Se proporcionan o facilitan programas aislados de entrenamiento para los empleados en las diferentes áreas de la empresa, pero no hay un plan general de entrenamiento.
Planes de Acción:
Asegurar el entrenamiento y soporte a usuarios
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI
97 Ing. Julio César Becerra Lino
BAI06 Gestionar los Cambios Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Gestione todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación.
Observaciones: No existen políticas definidas de cambios a programas en la organización.
Existe un proceso de administración de cambio informal y la mayoría de los cambios siguen este enfoque; sin embargo, el proceso no está estructurado ni documentado.
Los cambios autorizados no son realizados de acuerdo a cronogramas respectivos siguiento procedimientos establecidos.
Planes de Acción:
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI
BAI07 Gestionar la Aceptación del Cambio y la Transición
Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del lanzamiento, el paso a producción de procesos de negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una revisión post-implementación.
Observaciones: No existen políticas de control y gestión de cambios a programas en la organización
No existe consistencia sobre los enfoques de prueba y acreditación, no se basan en alguna metodología definida.
Los procesos de pruebas y aprobación son informales.
Planes de Acción:
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI
98 Ing. Julio César Becerra Lino
BAI08 Gestionar el Conocimiento Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar soporte a todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación, recopilación, organización, mantenimiento, uso y retirada de conocimiento.
Observaciones: No se cuenta con un registro de soporte de incidentes donde este se convierta en un historial que ayude al departamento de TI a solucionar problemas recurrentes y a identificar y anticipar posibles fallas.
Existe la percepción de que la documentación de procesos y ejecución diaria de actividades es necesaria, pero la misma se genera ocasionalmente e informalmente y no se registra en ninguna parte.
No existen herramientas o entorno donde se actualicen temas de conocimiento.
No se tiene fuentes de información identificada y clasificada, el conocimiento relevante actual no es compartido.
Planes de Acción:
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar Herramientas
Automatizadas de TI
BAI09 Gestionar los Activos Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Gestionar los activos de TI a través de su ciclo de vida para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento (acorde a los objetivos), que están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles. Administrar las licencias de software para asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso necesario para el negocio y que el software instalado cumple con los acuerdos de licencia.
Observaciones: No se realiza un análisis de si los activos de TI proveen niveles óptimos de disponibilidad y confiabilidad para el soporte de las necesidades del negocio.
No se tiene la información actualizada de los activos de TI.
No se cuenta con sistemas de reportes actualizados de los activos de TI
Planes de Acción:
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI
99 Ing. Julio César Becerra Lino
BAI10 Gestionar la Configuración Área: Gestión Dominio: Construir, Adquirir e Implementar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades necesarias para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de referencia, la verificación y auditoría de la información de configuración y la actualización del repositorio de configuración.
Observaciones: No se han definido prácticas estandarizadas de trabajo.
Existe una dependencia implícita del conocimiento y experiencia de cierto personal del departamento de TI.
No existen herramientas para la administración de configuraciones.
La gerencia está consciente de la necesidad de controlar la configuración de TI y entiende los beneficios de mantener información completa y precisa sobre las configuraciones.
El contenido de la información de la configuración es limitado.
No se tiene establecido un procedimiento para la gestion de datos de configuración.
Planes de Acción:
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar Herramientas
Automatizadas de TI
100 Ing. Julio César Becerra Lino
5.4.3.4 DOMINIO: ENTREGAR, DAR SERVICIO Y SOPORTE
DSS01 Gestionar Operaciones Área: Gestión Dominio: Entrega, Servicio y Soporte
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de TI tanto internos como externalizados, incluyendo la ejecución de procedimientos operativos estándar predefinidos y las actividades de monitorización requeridas.
Observaciones: Las operaciones de soporte de TI son informales e intuitivas.
Se puede evidenciar que existe una alta dependencia sobre las habilidades del departamento de TI.
Las instrucciones de qué hacer, cuándo y en qué orden, no están documentadas.
A manera de operación, no se revisan, ni generan informes de los eventos de logs de los servidores web, correo, aplicaciones.
Adicionalmente La seguridad física es un proceso informal, realizado por el área de sistemas.
Las metas de seguridad física no se basan en estándares formales y la gerencia no se asegura de que se cumplan los objetivos de seguridad
Los procedimientos de mantenimiento de instalaciones no están documentados y dependen del conocimiento de un grupo reducido del departamento de TI.
Planes de Acción:
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar la gestión de continuidad
del negocio Implementar Herramientas
Automatizadas de TI
101 Ing. Julio César Becerra Lino
DSS02 Gestionar Peticiones e Incidentes de Servicio
Área: Gestión Dominio: Entrega, Servicio y Soporte
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
Observaciones: Actualmente no se maneja herramientas para la gestión de incidentes o requerimientos de usuarios que permita registrar una base de conocimientos centralizada teniendo procedimientos para comunicar, escalar y resolver incidentes.
A través del área de TI se trata de dar soporte y respuesta a los usuarios y resolver todo tipo de incidentes, existe un área específica que se dedica únicamente al soporte de usuarios, pero solo es una persona, la cual queda rebasada con las peticiones de soporte.
Se reconoce y se acepta la necesidad de contar con políticas y procedimientos para la administración de incidentes.
Planes de Acción:
Asegurar el entrenamiento y soporte a usuarios
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar Herramientas
Automatizadas de TI
102 Ing. Julio César Becerra Lino
DSS03 Gestionar Problemas Área: Gestión Dominio: Entrega, Servicio y Soporte
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo para prevenir incidentes recurrentes. Proporcionar recomendaciones de mejora.
Observaciones: No se tienen herramientas implementadas con la finalidad de que los métodos y los procedimientos sean documentados, comunicados y medidos para evaluar su efectividad.
La revisión de incidentes y los análisis de identificación y resolución de problemas son limitados e informales.
No existe registro y rastreo de problemas y de sus soluciones.
No se estandarizan procesos de escalamiento y resolución de problemas.
Planes de Acción:
Asegurar el entrenamiento y soporte a usuarios
Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar Herramientas
Automatizadas de TI
DSS04 Gestionar la Continuidad Área: Gestión Dominio: Entrega, Servicio y Soporte
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa.
Observaciones: No hay un plan de continuidad de TI documentado.
Las prácticas de continuidad en los servicios del departamento de TI, dependen de las habilidades y conocimientos de los integrantes de TI.
Planes de Acción:
Definir el plan estratégico de TI Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar la gestión de continuidad
del negocio
103 Ing. Julio César Becerra Lino
DSS05 Gestionar Servicios de Seguridad
Área: Gestión Dominio: Entrega, Servicio y Soporte
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.
Observaciones: Existe una política de sistema definida donde existen aspectos limitados de seguridad de información.
La habilitación sobre seguridad está disponible pero depende principalmente de la iniciativa de los integrantes del departamento de TI
Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza.
Los servicios de terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa.
La seguridad de TI es vista primordialmente como responsabilidad y disciplina de TI, y el negocio no ve la seguridad de TI como parte de su propia disciplina.
Planes de Acción:
Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI
DSS06 Gestionar Controles de Proceso de Negocio
Área: Gestión Dominio: Entrega, Servicio y Soporte
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Definir y mantener controles apropiados de proceso de negocio para asegurar que la información relacionada y procesada dentro de la organización o de forma externa satisface todos los requerimientos relevantes para el control de la información. Identificar los requisitos de control de la información y gestionar y operar los controles adecuados para asegurar que la información y su procesamiento satisfacen estos requerimientos.
Observaciones: No se tienen definidos políticas y procedimientos para gestionar los controles de los procesos del negocio.
Si bien los procesos están alineados con los procesos de negocio de la organización, estos no son gestionados para así poder ser mejorados y optimizados.
Las transacciones de negocio en su mayoría no registran logs de auditoría.
Planes de Acción:
Definir el plan estratégico de TI Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar Herramientas
Automatizadas de TI
104 Ing. Julio César Becerra Lino
5.4.3.5 DOMINIO: SUPERVISAR, EVALUAR Y VALORAR
MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad
Área: Gestión Dominio: Supervisar, Evaluar y Valorar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Recolectar, validar y evaluar métricas y objetivos de negocio, de TI y de procesos. Supervisar que los procesos se están realizando acorde al rendimiento acordado y conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y planificada.
Observaciones: No existen procesos y procedimientos estándares de recolección y evaluación del rendimiento y conformidad de los servicios que presta el departamento de TI.
La Gerencia de TI reconoce una necesidad de recolectar y evaluar información sobre los procesos de monitoreo.
El monitoreo por lo general se implanta de forma reactiva en algún incidente que ha ocasionado pérdida o exposición de la organización.
Planes de Acción:
Difundir el enfoque de administración de proyectos
Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI
MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno
Área: Gestión Dominio: Supervisar, Evaluar y Valorar
Descripción del Proceso Nivel de Madurez Observado:
0 = Proceso Incompleto
Supervisar y evaluar de forma continua el entorno de control, incluyendo tanto autoevaluaciones como revisiones externas independientes. Facilitar a la Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas para la evaluación del control interno y las actividades de aseguramiento.
Observaciones: No existe un sistema de control interno ni de autoevaluación en el departamento de TI.
La gerencia reconoce la necesidad de administrar y asegurar el control de TI de forma regular.
La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los controles internos.
Planes de Acción:
Difundir el enfoque de administración de proyectos
Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI
105 Ing. Julio César Becerra Lino
MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos.
Área: Gestión Dominio: Supervisar, Evaluar y Valorar
Descripción del Proceso Nivel de Madurez Observado:
1 = Proceso Ejecutado
Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de TI como en los procesos de negocio dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los requisitos y se ha integrado el cumplimiento de TI en el cumplimiento de la empresa general.
Observaciones: Existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la necesidad se comunica.
No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles.
Se brinda entrenamiento informal respecto a los requerimientos externos y a los temas de cumplimiento de requisitos regulatorios.
La identificación y supervisión de los cambios de legislaciones y regulaciones lo realiza la Jefatura de TI.
Planes de Acción:
Difundir el enfoque de administración de proyectos
Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI
106 Ing. Julio César Becerra Lino
5.4.4 RESULTADOS OBTENIDOS DEL ANÁLISIS DEL NIVEL DE
MADUREZ EN EL DEPARTAMENTO DE TI
Luego de la aplicación de la entrevista y el cálculo respectivo, se ha obtenido un
nivel de madurez para cada proceso de TI, el cual se resume en la siguiente
Tabla:
Área Dominio Código Proceso Nivel de
Madurez
Gobierno Evaluar,
Orientar y
Supervisar
EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno
0
EDM02 Asegurar la Entrega de Beneficios 1
EDM03 Asegurar la Optimización del Riesgo 0
EDM04 Asegurar la Optimización de Recursos 1
EDM05 Asegurar la Transparencia hacia las Partes
Interesadas
1
Gestión Alinear,
Planificar y
Organizar
APO01 Gestionar el Marco de Gestión de TI 1
APO02 Gestionar la Estrategia 1
APO03 Gestionar la Arquitectura Empresarial 0
APO04 Gestionar la Innovación 1
APO05 Gestionar el Portafolio 1
APO06 Gestionar el Presupuesto y los Costes 1
APO07 Gestionar los Recursos Humanos 1
AP008 Gestionar las relaciones 1
AP009 Gestionar los acuerdos de servicio 0
APO10 Gestionar los Proveedores 1
APO11 Gestionar la Calidad 0
APO12 Gestionar el Riesgo 0
APO13 Gestionar la Seguridad 1
Construir,
Adquirir e
Implementar
BAI01 Gestión de Programas y Proyectos 1
BAI02 Gestionar la Definición de Requisitos 1
BAI03 Gestionar la Identificación y Construcción de
Soluciones
1
BAI04 Gestionar la Disponibilidad y la Capacidad 0
BAI05 Gestionar la Facilitación del Cambio
Organizativo
0
BAI06 Gestionar los Cambios 0
BAI07 Gestionar la Aceptación del Cambio y la
Transición
0
107 Ing. Julio César Becerra Lino
BAI08 Gestionar el Conocimiento 0
BAI09 Gestionar los Activos 1
BAI10 Gestionar la Configuración 0
Entrega,
Servicio y
Soporte
DSS01 Gestionar Operaciones 1
DSS02 Gestionar Peticiones e Incidentes de Servicio 1
DSS03 Gestionar Problemas 1
DSS04 Gestionar la Continuidad 0
DSS05 Gestionar Servicios de Seguridad 1
DSS06 Gestionar Controles de Proceso de Negocio 0
Supervisar,
Evaluar y
Valorar
MEA01 Supervisar, Evaluar y Valorar el Rendimiento y
la Conformidad
0
MEA02 Supervisar, Evaluar y Valorar el Sistema de
Control Interno
0
MEA03 Supervisar, Evaluar y Valorar la Conformidad
con los Requerimientos Externos
1
Cuadro N° 13: Resultado del nivel de madurez
A continuación se presenta un resumen del Nivel de madurez por dominios.
Área
Dominio
Cantidad
De
Procesos
Proceso
en
Nivel 0
Procesos
en
Nivel 1
Nivel 0
Ejecutado
por Dominio
(%)
Nivel 1
Ejecutado
por Dominio
(%)
Go
bie
rno
Evaluar, Orientar y Supervisar
5
2
3
40.00%
60.00%
Ge
stió
n
Alinear, Planificar y Organizar
13
4
9
30.77%
69.23%
Construir, Adquirir e Implementar
10
6
4
60.00%
40.00%
Entrega, Servicio y Soporte
6
2
4
33.33%
66.67%
Supervisar, Evaluar y Valorar
3
2
1
66.67%
33.33%
TOTAL
37
16
21
43.24%
56.76%
Cuadro N° 14: Resultado de la evaluación de los 37 Procesos de COBIT
108 Ing. Julio César Becerra Lino
En consecuencia, los niveles más altos están en “Alinear, Planificar y
Organizar”, mientras que los niveles más bajos están en los dominios de:
”Supervisar, Evaluar y Valorar” y “Construir, Adquirir e Implementar”
Finalmente, se clasifican y ordenan los procedimientos relevantes del
departamento de TI (Cuadro N° 3 anterior), de acuerdo a los 5 dominios de
COBIT 5. Luego estos son relacionados con los resultados de la evaluación de
procesos (Cuadro N° 13 anterior), dando como resultado el Cuadro N° 14, el
cual expone el Nivel de Madurez evaluado para cada procedimiento relevante
del departamento de TI relacionado con el proceso y dominio correspondiente a
COBIT 5.
109 Ing. Julio César Becerra Lino
Área
Dominio
Código
Proceso
ID
Procedimientos relevantes del departamento de TI
Nivel de Madurez
Evaluado
Gobierno Evaluar, Orientar y
Supervisar
EDM02 Asegurar la Entrega de
Beneficios
PTI16 Gestión de equipos y personal para época de acopio de
materia prima
1
Gestión Alinear, Planificar y
Organizar
APO10 Gestionar los Proveedores PTI17 Gestión de servicios externos 1
Construir, Adquirir
e Implementar
BAI02 Gestionar la Definición de
Requisitos
PTI1 Adquisición de equipos 1
BAI03 Gestionar la Identificación y
Construcción de Soluciones
PTI8 Nuevos desarrollos de software 1
PTI9 Modificaciones de software
BAI06 Gestionar los Cambios PTI10 Actualizaciones de software 0
BAI09 Gestionar los Activos PTI3 Mantenimiento de equipos 1
BAI10 Gestionar la Configuración PTI11 Gestión de Bases de datos 0
Entrega, Servicio y
Soporte
DSS01 Gestionar Operaciones PTI2 Instalación de equipos 1
DSS02 Gestionar Peticiones e
Incidentes de Servicio
PTI12 Soporte a usuarios locales 1
PTI13 Soporte a usuarios remotos
DSS05 Gestionar Servicios de
Seguridad
PTI4 Respaldo de Información (Backup) 1
PTI5 Administración de Cuentas de Usuarios
PTI6 Administración del acceso a Internet
PTI7 Acceso a los archivos y documentos digitales
PTI14 Administración de códigos para la central telefónica
PTI15 Administración de uso de Dispositivos de almacenamientos
Supervisar, Evaluar
y Valorar
MEA03 Supervisar, Evaluar y Valorar
la Conformidad con los
Requerimientos Externos
PTI17 Verificar las regulaciones externas respecto a solicitudes de
nuevos desarrollos o modificaciones en el software
1
Cuadro N° 15: Procedimientos relevante del Departamento de TI vs. El Nivel de madurez de los procesos analizados
110 Ing. Julio César Becerra Lino
5.4.5 CONCLUSIONES Y RECOMENDACIONES SOBRE LOS
RESULTADOS OBTENIDOS DEL ANÁLISIS DEL NIVEL DE
MADUREZ EN EL DEPARTAMENTO DE TI
En el Cuadro N°15 anteriormente expuesto, se pueden observar los
procedimientos relevantes del departamento TI asociados a los procesos que
les corresponde, teniendo la mayoría un grado de madurez “Nivel 1” según el
análisis de madurez realizado anteriormente (Cuadro N°13), lo que nos indica,
que estos procedimientos cumplen con su objetivo, pero sin embargo estos no
se encuentran bien definidos, ni documentados y menos gestionados para así
poder ser optimizados.
Con estos resultados se puede inferir que el departamento de TI de la empresa
Granos, tiene una urgente necesidad de implementar y mejorar procesos,
procedimientos y políticas enmarcados en algún estándar o marco de trabajo,
que ayude a gestionar todos los recursos que maneja. También se puede inferir
que el departamento de TI, está próximo a pasar del estado de Madurez “Nivel
1 – Proceso Ejecutado”, al estado “Nivel 2 – Proceso Gestionado” (ver Cuadro
N°14).
Sin embargo existen también procesos que ya han sido definidos e
identificados, pero que todavía están siendo ejecutados de manera intuitiva y
reactiva (ver Cuadro N°13).
Con una mejora de procesos se buscará incrementar estos grados de madurez,
de manera tal de ayudar a los procesos a alcanzar su propósito dentro de los
lineamientos del departamento de TI y del negocio en sí.
Estos resultados justifican la necesidad de contar con un manual de mejora de
procesos basado en COBIT, que permita incrementar los grados de madurez,
para elevar la valoración de los niveles actuales de servicio, a los niveles
esperados.
111 Ing. Julio César Becerra Lino
CAPÍTULO VI: DISEÑO DEL MANUAL DE MEJORA DE PROCESOS
El manual se elabora dentro del marco de referencia que propone COBIT 5,
para incrementar la calidad y el nivel de madurez de los procesos, orientados a
contribuir al logro de los objetivos del negocio.
6.1 DEFINICIÓN DE REQUERIMIENTOS DE MEJORA DE PROCESOS CON
COBIT
Los requerimientos de mejora deberán explicar, que se requiere cumplir para
poder definir, administrar y medir el proceso. Cabe resaltar que no es posible
saltar a un estado de madurez superior, sino se cumplen con los requerimientos
del estado de madurez preliminar. En otras palabras para poder optimizar un
proceso de TI, éste debe estar completamente definido, y correctamente
administrado y medido.
Dentro de las guías de administración de COBIT se ha podido encontrar una
referencia importante: El Nivel 2 conocido como “Proceso Gestionado”, busca
planificar y supervisar el proceso, el Nivel 3 conocido como “Proceso
Establecido”, busca identificar y documentar el proceso, así como todos sus
componentes. El Nivel 4 conocido como “Proceso Predecible”, busca evaluar el
proceso, es decir medirlo, y verificar el cumplimiento de los objetivos del
proceso y el Nivel 5 conocido como “Proceso Optimizado” que busca Innovar y
optimizar los procesos.
Este razonamiento llevará a inferir que para incrementar los grados de madurez
se deberá cumplir con los siguientes requerimientos de alto nivel:
(2) Gestionado: Planificación y Supervisión
(3) Establecido: Identificación y documentación
(4) Predecible: Evaluación y Cumplimiento
(5) Optimizado: Las mejores prácticas
112 Ing. Julio César Becerra Lino
El “Nivel 5: Optimizado”, no será considerado porque todavía no es objetivo de
la Gerencia General, la razón radica en que debido a los resultados de las
evaluaciones de procesos anteriormente expuestos, la Gerencia es consciente
de que falta mucho por trabajar los procesos en los niveles inferiores y además
no se cuenta con la suficiente cantidad de recursos disponibles para apoyar la
implantación de procesos optimizados.
6.1.1 IDENTIFICACIÓN Y DOCUMENTACIÓN
La identificación y documentación consiste principalmente en entender el
proceso y formalizarlo a través de documentos escritos que definan políticas y
procedimientos que garanticen que el proceso cumpla su objetivo.
Identificación
Para cumplir con la identificación se partirá de una de las premisas de la
definición de procesos, que consiste en las preguntas básicas de “qué, quién,
donde, cuando, cómo y por qué”43 Estas premisas básicas cubren todos los
campos que se buscan dentro de la definición de procesos y se describen a
continuación:
Qué: La definición del objetivo principal del proceso, es decir, el proceso
de transformación que convierte una entrada en una salida o resultado.
Quién: La o las personas que están involucradas con el proceso, los
dueños del proceso, los responsables del proceso, y los clientes del
proceso. También define los roles que tiene cada ente dentro de la
ejecución del proceso.
Dónde: En que locación se ejecuta el proceso, si es global, o solamente
en ciertos lugares, puede ser local, regional, o global.
43 COBIT STEERING COMMITTEE, Audit Guidelines. 3ra. Edición.
113 Ing. Julio César Becerra Lino
Cuándo: En qué momento se ejecuta el proceso, si es continuo o
discreto, cuándo se activa y bajo qué condiciones.
Cómo: Como el proceso transforma la entrada en salida, es decir, las
actividades y tareas que conforman el proceso. Aquí se mencionan los
pasos a seguir para que el proceso cumpla su objetivo. Adicionalmente el
cómo define las políticas y procedimientos que se deben seguir para
asegurar que el proceso sea exitoso.
Por qué: Todo proceso satisface un requerimiento de negocio, entonces
el proceso genera varios productos o entregables que son requeridos por
el negocio. El por qué identifica los resultados que el proceso debe
generar para comprobar que cumpla su propósito.
Documentación
La documentación consiste en plasmar el proceso de identificación en
documentos formales, bajo plantillas estandarizadas todos los componentes de
un proceso. La identificación permite entender el proceso, pero es la
documentación la que define formalmente al proceso. Una de las principales
ventajas de la documentación es que independiza a los procesos de los
individuos, ya que el proceso que está dentro de la mente de una persona, pasa
a ser grabada en un documento que puede ser accedido por varias personas.
De esta manera se logra dar vida al proceso y posicionarlo dentro del
departamento como un elemento que utiliza recursos y satisface criterios de
información. A continuación se han definido las características que debe tener
la documentación:
Estándar: El formato de documentación debe ser el mismo para cada
proceso, de tal manera que facilite su entendimiento.
Sencilla: La documentación debe ser capaz de ser entendida por
cualquier miembro de la organización en forma rápida y sencilla. La
114 Ing. Julio César Becerra Lino
principal premisa es que cualquier persona al acceder a la
documentación entienda “qué, quién, donde, cuando, cómo y por qué”.
Práctica: La documentación debe ser aplicable a la realidad de la
organización; no quedar dentro del campo de lo teórico. La
documentación debe convertirse en un manual del proceso que permita
transferir el conocimiento y que éste sea aplicado.
Disponible: La documentación debe ser asequible para las personas
que están relacionadas con el proceso. La documentación debe ser
comunicada a los entes que intervienen para que tengan una visión más
amplia del objetivo del proceso.
6.1.2 EVALUACIÓN Y CUMPLIMIENTO
Para que un proceso sea administrado y medible, debe cumplir con sus
actividades y tareas, y debe proporcionar medidas de su desempeño que
permitan tener una retroalimentación y mejora continua.
Evaluación
Las métricas son parte de las prácticas de gobierno y administración de COBIT,
persiguen identificar qué tan lejos llegó el proceso en alcanzar sus objetivos, es
decir, mide la efectividad de un proceso para cumplir con los requerimientos del
negocio.
Entonces la implementación y consideración de las métricas, permitirán realizar
una evaluación de los procesos. En consecuencia se procederá a evaluar las:
Métricas relacionadas con las metas de TI.
Métricas relacionadas con las metas de Proceso.
115 Ing. Julio César Becerra Lino
Cumplimiento
El cumplimiento consiste en la tarea de asegurar que el proceso llegue a su
objetivo, si no se asegura el cumplimiento, las medidas darán resultados
negativos. Es el cumplimiento el que permite que cada proceso pueda ser
administrado.
El elemento clave para lograr el cumplimiento es el control a través de las
prácticas de gobierno y gestión propuestas por COBIT 5. Los controles son los
componentes que guían y educan al proceso para que no se desvíe de su
objetivo, para que siga la ruta correcta y pueda corregir cualquier anomalía.
6.2 DISEÑO DEL MANUAL
Para el diseño del manual de mejora, es necesario considerar el objetivo clave
que es aplicar el Marco de Referencia de COBIT 5, que permita rediseñar los
procesos.
6.2.1 ESTRUCTURA DEL MANUAL
Un manual se define como un conjunto o secuencia de guías y procedimientos
a seguir para asegurar la ejecución correcta de un objetivo planteado. Entonces
el manual será la guía que se deberá aplicar para el rediseño de un proceso.
El manual debe partir de la implantación de una identificación, documentación,
evaluación y cumplimiento del proceso. La identificación y documentación serán
tratadas en un solo componente llamado definición. Esto se debe a que al
momento de definir un proceso es necesario identificarlo, y este resultado debe
ser documentado en formularios que plasmen el proceso.
Entonces el manual de mejora tendrá los siguientes procedimientos que se
muestran a continuación en la Figura N°20.
116 Ing. Julio César Becerra Lino
Figura N° 20: Estructura del Manual44
Cada uno de estos tres componentes será diseñado en base a los
requerimientos de mejora y aplicando los conceptos del Marco de referencia de
COBIT 5. Con esta estructura lo que se busca es satisfacer los requerimientos
necesarios para elevar el grado de madurez de los procesos de TI.
6.2.2 DEFINICIÓN DEL PROCESO
La definición del proceso es la actividad que involucra: identificación y
documentación del proceso y sus componentes.
Dentro de la identificación del proceso se contestarán las preguntas “qué, por
qué, quién, donde, cuándo y cómo” que son las premisas básicas del proceso.
A continuación se presenta la descripción de las actividades de este
procedimiento y así también los formularios que son necesarios para su
correcta realización.
44 Fuente: Elaboración propia
DEFINICIÓN
• Definición
• Objetivos
• Roles
• Ubicación
• Tiempo
• Diagrama de flujo
• Actividades
EVALUACIÓN
• Métricas relacionadas con las metas de TI.
• Métricas relacionadas con las metas de Proceso.
CUMPLIMIENTO
• Prácticas de gobierno y gestión.
117 Ing. Julio César Becerra Lino
DESCRIPCIÓN DEL PROCEDIMIENTO
FECHA DE AUTORIZACIÓN
HOJA
DE
01 NOV 2016 1 2
PROCEDIMIENTO:
DEFINICIÓN DEL PROCESO
CÓDIGO
DEFPRO-01
ÁREA
DEPARTAMENTO DE TI
DIRECCIÓN:
DIRECCIÓN DE TI
RESPONSABLE
NRO. ACT.
DESCRIPCIÓN DE ACTIVIDADES
FORMATOS O DOCUMENTOS
Departamento de TI
1 Área del departamento de TI, realiza una solicitud de Mejora de Proceso.
Existe un “Formulario Nro. 1” que tiene que ser llenado con todos los datos e información necesaria del proceso y solicitante. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.1” que puede utilizar como guía.
Formulario N° 1: Solicitud de Mejora de Proceso
Cuadro Nro. 16: Instructivo de llenado del Formulario Nro.1
Dirección de TI
2
Se recibe solicitud para mejorar el grado de madurez de un proceso de cualquier área del departamento de TI de la empresa.
Formulario N° 1: Solicitud de Mejora de Proceso
Dirección de TI
3
Se analiza la solicitud para ser aprobada
Dirección de TI
4
NO SE APROBÓ LA SOLICITUD Se registra y archiva la solicitud
Formulario N° 1: Solicitud de Mejora de Proceso
Departamento
de TI
5
SI SE APROBÓ LA SOLICITUD Describir y documentar todos los datos relevantes del proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 2”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.2” que puede utilizar como guía.
Formulario N°2: Definición de procesos.
Cuadro Nro. 17: Instructivo de llenado del Formulario Nro.2
Departamento
de TI
6
Realizar un diagrama de flujo del proceso que se quiere analizar para que haya un mejor entendimiento del mismo. Se tiene que llenar el: “Formulario Nro. 3”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.3” que puede utilizar como guía. Para realizar el diagrama de flujo, existe una simbología definida que la puede ver en el Cuadro Nro. 18
Formulario N°3: Diagrama de Flujo
Cuadro Nro. 19: Instructivo de llenado del Formulario Nro. 3
Cuadro Nro. 18: Simbología del diagrama de flujo
Departamento
de TI
7
Describir el inventario de actividades propuesto por COBIT referente al proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 4”, Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.4” que puede utilizar como guía.
Formulario N°4: Inventario de Actividades.
Cuadro Nro. 20: Instructivo de llenado del Formulario Nro. 4
118 Ing. Julio César Becerra Lino
DESCRIPCIÓN DEL PROCEDIMIENTO
FECHA DE AUTORIZACIÓN
HOJA
DE
01 NOV 2016 2 2
PROCEDIMIENTO:
DEFINICIÓN DEL PROCESO
CÓDIGO
DEFPRO-01
ÁREA
DEPARTAMENTO DE TI
DIRECCIÓN:
DIRECCIÓN DE TI
RESPONSABLE
NRO. ACT.
DESCRIPCIÓN DE ACTIVIDADES
FORMATOS O DOCUMENTOS
Departamento de TI
8
Entrega toda la documentación obtenida durante las etapas de definición del proceso
Formulario N° 1: Solicitud de Mejora de Proceso
Formulario N° 2: Definición de procesos.
Formulario N° 3: Diagrama de Flujo
Formulario N° 4: Inventario de Actividades.
Dirección de TI
9
Recepciona y archiva todos los documentos generados en esta etapa. FIN DEL PROCEDIMIENTO
Formulario N° 1: Solicitud de Mejora de Proceso
Formulario N° 2: Definición de procesos.
Formulario N° 3: Diagrama de Flujo
Formulario N° 4: Inventario de Actividades.
ELABORÓ
ÁREA RESPONSABLE
AUTORIZÓ
Departamento de TI
----------------------------------------- Responsable:
Dirección de TI
-----------------------------------------Responsable:
Gerencia General
-----------------------------------------Responsable:
Formulario de Procedimiento N° 1: Definición del Proceso
119 Ing. Julio César Becerra Lino
DIAGRAMA DE FLUJO DEL PROCEDIMIENTO
FECHA DE AUTORIZACIÓN
HOJA
DE
01 NOV 2016 1 1
PROCEDIMIENTO:
DEFINICIÓN DEL PROCESO
CÓDIGO
DEFPRO-01
ÁREA
DEPARTAMENTO DE TI
DIRECCIÓN:
DIRECCIÓN DE TI
DEPARTAMENTO DE TI
DIRECCIÓN DE TI
INICIO
Área del departamento de TI, realiza una solicitud de Mejora de Proceso
Se analiza la solicitud para ser aprobada
FIN
Solicitud
Aprobada?
Formulario N°1: Solicitud de Mejora de Proceso
Se registra y archiva la solicitud
Describir y documentar todos los datos relevantes del proceso que se quiere
analizar.
Formulario N°2: Definición del Proceso.
Realizar un diagrama de flujo del proceso que se quiere analizar para que haya un mejor entendimiento del
mismo
Formulario N°3: Diagrama de Flujo
Describir el inventario de actividades propuesto por
COBIT referente al proceso que se quiere analizar
Formulario N°4: Inventario de Actividades.
NO
SI
COBIT5-Procesos Catalizadores
(Inicia en Pág. 25)
Recibe solicitud para mejorar el grado de madurez de un proceso del departamento de
TI de la empresa.
Formulario N°1:
Solicitud de
Mejora de Proceso
Recepciona y archiva todos los
documentos generados en esta
etapa.
Formulario N°1Formulario N°2Formulario N°3Formulario N°4
Formulario de Procedimiento N° 2: Diagrama de Flujo de la Definición del Proceso
120 Ing. Julio César Becerra Lino
6.2.2.1 DEFINICIÓN
FORMULARIO NRO. 1: Solicitud de Mejora de Proceso Fecha [1] Datos Solicitante Nombre [2] Área de TI [3] Nombre del Proceso:
[4]
Motivos de la solicitud
[5]
Que beneficios va a traer para el negocio [6]
Firma del solicitante [7] Formulario N° 1: Solicitud de Mejora de Proceso
Instructivo de llenado del Formulario N° 1: Solicitud de Mejora de Proceso
Campo Variable Descripción [1] Fecha Fecha en que se está llenando del formulario, anotar: Día, mes
y Año.
[2] Nombre Nombre de la persona que está solicitando la mejora del proceso
[3] Área TI Nombre del Área del departamento de TI que está solicitando la mejora del proceso.
[4] Nombre del Proceso Es el nombre del proceso que se solicita mejorar
[5] Motivos de la solicitud
Describir de manera clara y puntual cuales son los principales motivos de solicitar la mejora del proceso
[6] Que beneficios va a traer para el negocio
Describir cual va a hacer el impacto en el negocio al mejorar el nivel de madurez del proceso.
[7] Firma del solicitante Firma del solicitante
Cuadro N° 16: Instructivo de llenado del Formulario Nro. 1
121 Ing. Julio César Becerra Lino
FORMULARIO NRO. 2: Definición del Proceso Fecha [1] DEFINICIÓN (Qué) Código [2] Dominio [3] Nombre del Proceso:
[4]
OBJETIVOS (Por qué)
[5]
Requerimientos de negocio a alcanzar
[6]
ROLES (Quién)
Dueño(s) [7] Responsable(s) [8] Controlador(es) [9] Cliente(s) [10] Proveedor(es) [11] UBICACIÓN (Donde)
Ubicación
[12]
TIEMPO (Cuando)
Ejecución [13] Frecuencia [14] RECURSOS (Cómo)
Recursos de TI que se van a utilizar:
Gente [15] Instalaciones [15] Aplicaciones [15] Datos [15] Tecnología [15] [15]
Formulario N° 2: Definición de procesos
122 Ing. Julio César Becerra Lino
Instructivo de llenado del Formulario N°2: Definición del Proceso
Campo Variable Descripción [1] Fecha Fecha en que se está llenando del formulario, anotar: Día, mes y Año.
[2] Código Está compuesto por un prefijo de 3 caracteres que indica el dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”
[3] Dominio Es el nombre del dominio de COBIT al cual pertenece el proceso. Puede ser:
Evaluar, Orientar y Supervisar
Alinear, Planificar y Organizar
Construir, Adquirir e Implementar
Entregar, dar Servicio y Soporte
Supervisar, Evaluar y Valorar
[4] Nombre del Proceso
Es el nombre del proceso en sí a evaluar(Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[5] OBJETIVOS (Por qué)
El “por qué” persigue definir la razón de la existencia del proceso, en otras palabras, la razón de ser del proceso (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[6] Requerimientos de negocio a alcanzar
Se deberá listar los requerimientos de negocio que se busca satisfacer proceso (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[7] Dueño(s) Es el cargo responsable de la ejecución del proceso. Es la persona que interactúa directamente con el proceso.
[8] Responsable(s) Se encarga de supervisar y velar por el cumplimiento de los objetivos del proceso. Todas las actividades de evaluación y cumplimiento del proceso, deben ser revisadas por el responsable. El responsable es quien responde ante la gerencia del éxito o fracaso del proceso.
[9] Controlador(es) Se encarga de monitorear que el proceso aporte a los criterios de información de COBIT y satisfaga los requerimientos de negocio. Aprueba cualquier cambio al proceso y verifica que las medidas de éxito del proceso se cumplan.
[10] Cliente(s) Son las personas o grupos que reciben un producto o servicio del proceso. Estos pueden ser del departamento de TI, o de un departamento distinto dentro de la organización.
[11] Proveedor(es) Son las personas o grupos que entregan un insumo al proceso.
[12] Ubicación Se refiere a las locaciones físicas en donde el proceso está presente.
[13] Ejecución Recurrente (que se repite cada período de tiempo), o bajo demanda (que es activado por un evento)
[14] Frecuencia El período de tiempo en que se repite. Puede ser en horas, días, semanas o meses. (Sólo se aplica cuando es recurrente; si es bajo demanda, se deberá insertar la palabra NO APLICA)
[15] Recursos de TI que se van a utilizar
Los recursos de TI que el proceso requiere para ser ejecutado. Marca con una X los recursos que se van a utilizar
Cuadro N° 17: Instructivo de llenado del Formulario Nro. 2
123 Ing. Julio César Becerra Lino
Dentro del “cómo”, se definen las actividades, entradas, salidas del proceso.
Las actividades deben seguir un orden para que el proceso sea ordenado.
COBIT exige una documentación que permita entender como el proceso es
ejecutado, como los pasos se dan dentro del proceso y quienes los ejecutan, es
decir los roles.
Para cumplir con este objetivo se definirán dos componentes adicionales:
- El diagrama de flujo
- El Inventario de Actividades
124 Ing. Julio César Becerra Lino
6.2.2.2 DIAGRAMA DE FLUJO
El diagrama de flujo muestra la secuencia y la inteligencia del proceso,
enlazando las actividades, procedimientos, entradas y salidas que involucran al
proceso. A continuación se detalla los componentes que debe tener un
diagrama de flujo estándar:
Símbolo Nombre Explicación
Línea de Flujo Muestra la dirección y sentido del flujo del proceso, conectando los símbolos
Terminador
(Comienzo o final de
procesos)
En su interior situamos materiales, información o acciones para comenzar el proceso o para mostrar el resultado en el final del mismo.
Proceso
(actividad)
Representa la realización de una operación o actividad relativas a un procedimiento y se anota dentro del símbolo la descripción de la acción que se realiza en este paso.
Conector de hoja Este símbolo se utiliza con la finalidad de evitar las hojas de gran tamaño, el cual muestra al finalizar la hoja, hacia donde va y al principio de la siguiente hoja de donde viene; dentro del símbolo se anotara la letra “A” para el primer conector y se continuará con la secuencia de las letras del alfabeto.
Decisión
(Decisión/Bifurcación)
Se emplea cuando en la actividad se requiere preguntar si algo procede o no, identificando dos o más alternativas de solución. Para fines de mayor claridad y entendimiento, se describirá brevemente en el centro del símbolo lo que va a suceder, cerrándose la descripción con el signo de interrogación.
Datos
Entrada/Salida
(Información de
apoyo)
Situamos en su interior la información necesaria para alimentar una actividad (datos para realizarla)
Documento Se utiliza para hacer referencia a la generación o consulta de un documento específico en un punto del proceso.
Cuadro N° 18: Simbología del diagrama de flujo
125 Ing. Julio César Becerra Lino
A continuación se expone el formulario sobre el cual tiene que ir el diagrama de
flujo.
FORMULARIO NRO. 3: Diagrama de Flujos Proceso: [1]
Creado por: [2] Revisado por: [3] Aprobado por: [4]
Fecha última aprobación: [5] Fecha próxima revisión: [6]
[7]
Formulario N° 3: Diagrama de Flujo
Instructivo de llenado del Formulario N°3: Diagrama de Flujos
Campo Variable Descripción [1] Proceso Es el nombre del proceso en sí a evaluar
[2] Creado por Cargo o grupo responsable de la creación del diagrama
[3] Revisado por Cargo o grupo responsable de la revisión del diagrama
[4] Aprobado por Cargo o grupo responsable de la aprobación del diagrama
[5] Fecha última aprobación
Fecha de la última aprobación
[6] Fecha próxima revisión Fecha de la próxima aprobación
[7] Diagrama Diagrama de flujo que describe el proceso
Cuadro N° 19: Instructivo de llenado del Formulario Nro. 3
126 Ing. Julio César Becerra Lino
6.2.2.3 INVENTARIO DE ACTIVIDADES
El inventario de actividades es una matriz que muestra varios elementos que
deben ser considerados dentro de la actividad.
Las entradas y salidas de COBIT 5 son los productos/artefactos de trabajo de
los procesos que se consideran necesarios para apoyar la operación del
proceso. Posibilitan las decisiones clave, proveen un registro y traza de
auditoría de las actividades de los procesos y posibilitan el seguimiento en caso
de incidente. Se definen al nivel de práctica clave de gobierno/gestión, pueden
incluir algunos productos de trabajo utilizados en el proceso y, a menudo, son
entradas esenciales para otros procesos.
Las entradas y salidas ilustrativas de COBIT 5 no deben considerarse como una
lista exhaustiva ya que se podrían definir flujos adicionales de información,
dependiendo del entorno particular y marco de procesos de una compañía
FORMULARIO NRO. 4: Inventario de Actividades
Fecha: [1] Código [2] Dominio [3] Nombre del Proceso
[4]
Práctica de Gobierno y Gestión
Nombre Actividad Responsable Entradas Salidas
[5] [6] [7] [8] [9]
Formulario N° 4: Inventario de Actividades
127 Ing. Julio César Becerra Lino
Instructivo de llenado del Formulario N°4: Inventario de Actividades
Campo Variable Descripción [1] Fecha Fecha en que se está llenando del formulario, anotar:
Día, mes y Año.
[2] Código Está compuesto por un prefijo de 3 caracteres que indica el dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”
[3] Dominio Es el nombre del dominio de COBIT al cual pertenece el proceso. Puede ser: Evaluar, Orientar y Supervisar Alinear, Planificar y Organizar Construir, Adquirir e Implementar Entregar, dar Servicio y Soporte Supervisar, Evaluar y Valorar
[4] Nombre del Proceso Es el nombre del proceso en sí a evaluar
[5] Práctica de Gobierno y Gestión
Nombre de la práctica de gobierno y gestión correspondiente al proceso y a la práctica de gobierno y gestión que se está realizando. (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[6] Nombre Actividad Descripción más detalladas que las prácticas (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[7] Responsable Cargo o grupo responsable de la ejecución de la actividad
[8] Entradas Son los productos/artefactos de trabajo de entrada de los procesos, que se consideran necesarios para apoyar la operación del proceso
[9] Salidas Son los productos/artefactos de trabajo de salida de los procesos, que se consideran necesarios para apoyar la operación del proceso
Cuadro N° 20: Instructivo de llenado del Formulario Nro. 4
128 Ing. Julio César Becerra Lino
6.2.3 EVALUACIÓN DEL PROCESO
Luego de que el proceso ha sido definido y documentado, la evaluación del
proceso es el primer paso para llegar al siguiente nivel de madurez; que es
tener un proceso administrado y medible. Un proceso puede ser administrado
cuando es posible monitorear y medir el desempeño del mismo.
DESCRIPCIÓN DEL PROCEDIMIENTO
FECHA DE AUTORIZACIÓN
HOJA
DE
01 NOV 2016 1 2
PROCEDIMIENTO:
EVALUACIÓN DEL PROCESO
CÓDIGO
EVAPRO-01
ÁREA
DEPARTAMENTO DE TI
DIRECCIÓN:
DIRECCIÓN DE TI
RESPONSABLE
NRO. ACT.
DESCRIPCIÓN DE ACTIVIDADES
FORMATOS O DOCUMENTOS
Departamento de TI
1
Describir y documentar todos los datos relevantes del proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 5”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.5” que puede utilizar como guía.
Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI)
Cuadro Nro. 21: Instructivo de llenado del Formulario Nro.5
Departamento de TI
2
Sacar las Metas y Métricas correspondiente al proceso en estudio, del documento oficial de: COBIT5-Procesos Catalizadores (inicia en pág. 25). Copiar al Formulario Nro5 solo las Metas y Métricas de TI.
Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI).
COBIT5-Procesos Catalizadores o COBIT5-Enabling
Departamento de TI
3 Calcular el Valor Máximo Esperado por cada proceso, si es que así lo requiere. Calcular el Valor Real por cada proceso. Calcular el Indicador de Efectividad aplicando la siguiente fórmula, cuando así se requiera. Indicador Efectividad = ((ValorReal / ValorMáximoEsperado) * 100)
Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI).
129 Ing. Julio César Becerra Lino
DESCRIPCIÓN DEL PROCEDIMIENTO
FECHA DE AUTORIZACIÓN
HOJA
DE
01 NOV 2016 2 2
PROCEDIMIENTO:
EVALUACIÓN DEL PROCESO
CÓDIGO
EVAPRO-01
ÁREA
DEPARTAMENTO DE TI
DIRECCIÓN:
DIRECCIÓN DE TI
RESPONSABLE
NRO. ACT.
DESCRIPCIÓN DE ACTIVIDADES
FORMATOS O DOCUMENTOS
Departamento de TI
4
Describir y documentan todos los datos relevantes del proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 6”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.6” que puede utilizar como guía.
Formulario N°6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso)
Cuadro Nro. 22: Instructivo de llenado del Formulario Nro.6
Departamento de TI
5
Sacar las Metas y Métricas correspondiente al proceso en estudio, del documento oficial de: COBIT5-Procesos Catalizadores (inicia en pág. 25). Copiar al Formulario Nro6 solo las Metas y Métricas de Proceso.
Formulario N°6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso).
COBIT5-Procesos Catalizadores o COBIT5-Enabling
Departamento de TI
6 Calcular el Valor Máximo Esperado por cada proceso, si es que así lo requiere. Calcular el Valor Real por cada proceso. Calcular el Indicador de Efectividad aplicando la siguiente fórmula, cuando así se requiera. Indicador Efectividad = ((ValorReal / ValorMáximoEsperado) * 100)
Formulario N°6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso).
Dirección de TI
7
Recepcionar y archivar los documentos generados en esta etapa. FIN DEL PROCEDIMIENTO
Formulario N°5
Formulario N°6
ELABORÓ
ÁREA RESPONSABLE
AUTORIZÓ
Departamento de TI
----------------------------------------- Responsable:
Dirección de TI
-----------------------------------------Responsable:
Gerencia General
-----------------------------------------Responsable:
Formulario de Procedimiento N° 3: Evaluación del Proceso
130 Ing. Julio César Becerra Lino
DIAGRAMA DE FLUJO DEL PROCEDIMIENTO
FECHA DE AUTORIZACIÓN
HOJA
DE
01 NOV 2016 1 1
PROCEDIMIENTO:
EVALUACIÓN DEL PROCESO
CÓDIGO
EVAPRO-01
ÁREA
DEPARTAMENTO DE TI
DIRECCIÓN:
DIRECCIÓN DE TI
DEPARTAMENTO DE TI
DIRECCIÒN DE TI
INICIO
Describir y documentar todos los datos relevantes del proceso que se
quiere analizar.
FIN
Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI)
Recepcionar y archivar los documentos generados en esta
etapa.
Copiar al Formulario Nro5 solo las Metas y Métricas de TI
Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI)
Calcular el Valor Máximo, Valor Real y el Indicador de Efectividad,
cuando se lo requiera
Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI)
COBIT5-Procesos
Catalizadores
(Inicia en Pág. 25)
Indicador Efectividad
= ((ValorReal /
ValorMáximoEspera
do) * 100)
Describir y documentar todos los datos relevantes del proceso que se
quiere analizar
Formulario N°6: Evaluación de Proceso (Métricas relacionada a las metas del Proceso)
Copiar al Formulario Nro6 solo las Metas y Métricas de
Proceso
Formulario N°6: Evaluación de Proceso (Métricas relacionada a las metas del Proceso)
Calcular el Valor Máximo, Valor Real y el Indicador de Efectividad,
cuando se lo requiera
Formulario N°6: Evaluación de Proceso (Métricas relacionada a las metas del Proceso)
COBIT5-Procesos
Catalizadores
(Inicia en Pág. 25)
Indicador Efectividad
= ((ValorReal /
ValorMáximoEspera
do) * 100)
Formulario N°5: Formulario N°6:
Formulario de Procedimiento N° 4: Diagrama de Flujo de la Evaluación del Proceso
131 Ing. Julio César Becerra Lino
6.2.3.1 MÉTRICAS RELACIONADAS A LAS METAS DE TI
Formulario N° 5: Evaluación de Proceso (Métricas relacionada a la metas de TI)
FORMULARIO NRO. 5: Evaluación del Proceso (Métricas relacionada a las metas de TI)
Código Proceso [1]
Nombre del Proceso
[2]
Descripción del Proceso
[3]
Fecha Última Actualización [4]
Elaborado por [5]
Revisado por [6]
Metas de TI Métrica Valor Máximo Esperado Valor Real Indicador Efectividad (%) Fecha
[7] [8] [9] [10] [11] [12]
132 Ing. Julio César Becerra Lino
Instructivo de llenado del Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI)
Campo Variable Descripción
[1] Código Proceso Está compuesto por un prefijo de 3 caracteres que indica el dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”
[2] Nombre del Proceso Es el nombre del proceso en sí a evaluar
[3] Descripción del Proceso
Visión general de lo que hace el proceso y una visión a alto nivel de cómo el proceso lleva a cabo su propósito (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[4] Fecha Última Actualización
Fecha de la última actualización al documento
[5] Elaborado por Es el cargo responsable de la elaboración del proceso. Es la persona que interactúa directamente con el proceso.
[6] Revisado por Es el cargo que revisa y gestiona el proceso
[7] Metas de TI Nombre de la meta de TI (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[8] Métrica Descripción de la métricas relacionadas con las metas de TI (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[9] Valor Máximo Esperado
El valor máximo que se espera obtener como resultado de la aplicación de la métrica.
[10] Valor Real El valor real que se obtiene como resultado de la aplicación de la métrica.
[11] Indicador Efectividad (%)
El Indicador de efectividad se obtiene aplicando la siguiente fórmula en las métricas que corresponda. Indicador Efectividad = ((ValorReal / ValorMáximoEsperado) * 100)
[12] Fecha Fecha de realización de la métrica, indicar: Día, mes y año
Cuadro N° 21: Instructivo de llenado del Formulario Nro. 5
133 Ing. Julio César Becerra Lino
6.2.3.2 MÉTRICAS RELACIONADAS A LAS METAS DEL PROCESO
FORMULARIO NRO. 6: Evaluación del Proceso (Métricas relacionada a las metas del Proceso)
Código Proceso [1]
Nombre del Proceso
[2]
Descripción del Proceso
[3]
Fecha Última Actualización [4]
Elaborado por [5]
Revisado por [6]
Metas del Proceso Métrica Valor Máximo Esperado Valor Real Indicador Efectividad Fecha
[7] [8] [9] [10] [11] [12]
Formulario N° 6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso)
134 Ing. Julio César Becerra Lino
Instructivo de llenado del Formulario N°6: Evaluación de Proceso (Métricas relacionada a la metas del proceso)
Campo Variable Descripción
[1] Código Proceso Está compuesto por un prefijo de 3 caracteres que indica el dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”
[2] Nombre del Proceso Es el nombre del proceso en sí a evaluar (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[3] Descripción del Proceso
Visión general de lo que hace el proceso y una visión a alto nivel de cómo el proceso lleva a cabo su propósito (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[4] Fecha Última Actualización
Fecha de la última actualización al documento
[5] Elaborado por Es el cargo responsable de la elaboración del proceso. Es la persona que interactúa directamente con el proceso.
[6] Revisado por Es el cargo que revisa y gestiona el proceso
[7] Metas de Proceso Nombre de la meta de proceso (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[8] Métrica Descripción de la métricas relacionadas con las metas de proceso (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[9] Valor Esperado El valor que se espera obtener del servicio o tarea
[10] Valor Real El valor que en realidad se obtuvo del servicio o tarea
[11] Indicador Efectividad El Indicador de efectividad se obtiene aplicando la siguiente fórmula en las métricas que corresponda. Indicador Efectividad = ((ValorReal / ValorMáximoEsperado) * 100)
[12] Fecha Fecha de realización de la métrica, indicar: Día, mes y año
Cuadro N° 22: Instructivo de llenado del Formulario Nro. 6
135 Ing. Julio César Becerra Lino
6.2.4 CUMPLIMIENTO DEL PROCESO
El cumplimiento del proceso es la sección en donde se confirma y valida que el
control, logre su cometido y define una filosofía de control sobre el proceso de
TI. COBIT lo hace a través de un componente clave:
· Prácticas de Gestión y de Gobierno
La validación que estos componentes estén siendo aplicados y sean una
realidad dentro del proceso, indica que el proceso está realizando lo que debe
hacer, es decir, que cumple con el cometido para el que fue creado. A
continuación se indican los pasos a seguir para verificar el cumplimiento de
cada componente.
136 Ing. Julio César Becerra Lino
DESCRIPCIÓN DEL PROCEDIMIENTO
FECHA DE AUTORIZACIÓN
HOJA
DE
01 NOV 2016 1 1
PROCEDIMIENTO:
CUMPLIMIENTO DEL PROCESO
CÓDIGO
CUMPRO-01
ÁREA
DEPARTAMENTO DE TI
DIRECCIÓN:
DIRECCIÓN DE TI
RESPONSABLE
NRO. ACT.
DESCRIPCIÓN DE ACTIVIDADES
FORMATOS O DOCUMENTOS
Departamento de TI
1
Describir y documentan todos los datos relevantes del proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 7”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.7” que puede utilizar como guía.
Formulario N°7: Cumplimiento del Proceso
Cuadro Nro. 23: Instructivo de llenado del Formulario Nro.7
Departamento de TI
2
Sacar la Prácticas de Gestión y Gobierno correspondiente al proceso en estudio, del documento oficial de: COBIT5-Procesos Catalizadores (inicia en pág. 25). Copiar al Formulario Nro7 las Prácticas de Gestión y Gobierno.
Formulario N°7: Cumplimiento del Proceso
COBIT5-Procesos Catalizadores o COBIT5-Enabling
Departamento de TI
3 Determinar si la Práctica de Gestión y Gobierno ha sido: Definida, Documentada, Comunicada, Implantada, Actualizada y Monitoreada.
Formulario N°7: Cumplimiento del Proceso
Dirección de TI 4
Recepcionar y archivar el documento generado en esta etapa. FIN DEL PROCEDIMIENTO
Formulario N°7
ELABORÓ
ÁREA RESPONSABLE
AUTORIZÓ
Departamento de TI
----------------------------------------- Responsable:
Dirección de TI
-----------------------------------------Responsable:
Gerencia General
-----------------------------------------Responsable:
Formulario de Procedimiento N° 5: Cumplimiento del Proceso
137 Ing. Julio César Becerra Lino
DIAGRAMA DE FLUJO DEL PROCEDIMIENTO
FECHA DE AUTORIZACIÓN
HOJA
DE
01 NOV 2016 1 1
PROCEDIMIENTO:
CUMPLIMIENTO DEL PROCESO
CÓDIGO
CUMPRO-01
ÁREA
DEPARTAMENTO DE TI
DIRECCIÓN:
DIRECCIÓN DE TI
DEPARTAMENTO DE TI
DIRECCIÓN DE TI
INICIO
Describir y documentar todos los datos relevantes del proceso que se
quiere analizar.
FIN
Formulario N°7: Cumplimiento del Proceso
Recepcionar y archivar los documentos generados en esta
etapa.
Copiar al Formulario Nro7 las Prácticas de Gestión y Gobierno
Formulario N°7: Cumplimiento del Proceso
Determinar si la Práctica ha sido: Definida, Documentada,
Comunicada, Implantada, Actualizada y Monitoreada.
Formulario N°7: Cumplimiento del Proceso
COBIT5-Procesos
Catalizadores
(Inicia en Pág. 25)
Formulario N°7:
Formulario de Procedimiento N° 6: Diagrama de Flujo del Cumplimiento del Proceso
138 Ing. Julio César Becerra Lino
FORMULARIO NRO. 7: Cumplimiento del proceso
Código Proceso [1] Nombre del Proceso [2] Fecha Última Actualización [3]
Elaborado por [4] Prácticas de Gobierno
y Gestión
Definido Documentado Comunicado Implantado Actualizado Monitoreado Próxima Revisión
[5]
[6]Si__ No__
[7]Si__ No__
[8]Si__ No__
[9]Si__ No__
[10]Si__
No__
[11]Si__ No__ [12]dd/mm/yy
Si__ No__
Si__ No__
Si__ No__
Si__ No__
Si__ No__
Si__ No__
dd/mm/yy
Si__ No__
Si__ No__
Si__ No__
Si__ No__
Si__ No__
Si__ No__
dd/mm/yy
Si__ No__
Si__ No__
Si__ No__
Si__ No__
Si__ No__
Si__ No__
dd/mm/yy
Dueño del Proceso [13]<nombre> [16]<firma> Responsable Proceso [19]<nombre> [21]<firma> Controlador [14]<nombre> [17]<firma> Cliente [20]<nombre> [22]<firma> Proveedor [15]<nombre> [18]<firma>
Formulario N° 7: Cumplimiento del proceso
139 Ing. Julio César Becerra Lino
Instructivo de llenado del Formulario N°7: Cumplimiento de proceso
Campo Variable Descripción [1] Código Proceso Está compuesto por un prefijo de 3 caracteres que indica el
dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”
[2] Nombre del Proceso Es el nombre del proceso en sí a evaluar (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[3] Fecha Última Actualización
Fecha de la última actualización del documento, indicar: Día, mes y año
[4] Elaborado por Es el cargo responsable de la elaboración del proceso. Es la persona que interactúa directamente con el proceso.
[5] Prácticas de Gobierno y Gestión
Nombre de la práctica de gobierno y gestión correspondiente al proceso en análisis. (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)
[6] Definido Marcar con una ‘X’ en ‘SI, si el proceso está correctamente definido, caso contrario en ‘NO’
[7] Documentado Marcar con una ‘X’ en ‘SI, si el proceso está correctamente documentado, caso contrario en ‘NO’
[8] Comunicado Marcar con una ‘X’ en ‘SI, si el proceso ha sido correctamente comunicado, caso contrario en ‘NO’
[9] Implantado Marcar con una ‘X’ en ‘SI, si el proceso ha sido correctamente implantado, caso contrario en ‘NO’
[10] Actualizado Marcar con una ‘X’ en ‘SI, si el proceso está correctamente actualizado, caso contrario en ‘NO’
[11] Monitoreado Marcar con una ‘X’ en ‘SI, si el proceso está correctamente monitoreado, caso contrario en ‘NO’
[12] Próxima Revisión
Fecha de la próxima revisión del documento, indicar: Día, mes y año
[13] Dueño del Proceso Es el cargo responsable de la ejecución del proceso. Es la persona que interactúa directamente con el proceso.
140 Ing. Julio César Becerra Lino
[14] Controlador Se encarga de monitorear que el proceso aporte a los criterios de información de COBIT y satisfaga los requerimientos de negocio. Aprueba cualquier cambio al proceso y verifica que las medidas de éxito del proceso se cumplan
[15] Proveedor Son las personas o grupos que entregan un insumo al proceso.
[16] Firma Dueño del Proceso
Firma del dueño del proceso
[17] Firma Controlador Firma del controlador
[18] Firma Proveedor Firma del proveedor
[19] Responsable Proceso
Se encarga de supervisar y velar por el cumplimiento de los objetivos del proceso. Todas las actividades de evaluación y cumplimiento del proceso, deben ser revisados por el responsable. El responsable es quien responde ante la gerencia del éxito o fracaso del proceso
[20] Cliente Son las personas o grupos que reciben un producto o servicio del proceso. Estos pueden ser del departamento de TI, o de un departamento distinto dentro de la organización.
[21] Firma Responsable Proceso
Firma del responsable del proceso
[22] Firma Cliente Firma del cliente
Cuadro N° 23: Instructivo de llenado del Formulario Nro. 7
141 Ing. Julio César Becerra Lino
CAPITULO VII: APLICACIÓN PRÁCTICA DEL MANUAL PARA PROCESOS
RELEVANTES EN EL DEPARTAMENTO DE TI DE LA ORGANIZACIÓN
Para la realización de una aplicación práctica del manual, se ha escogido los
siguientes procesos que ya fueron clasificados como relevantes para el
departamento de TI y fueron mostrados anteriormente en el Cuadro N°10.
BAI01-Gestionar los Programas y Proyectos
DSS02- Gestionar las Peticiones y los Incidentes del Servicio
Estos procesos fueron escogidos en base a una sugerencia de la Jefatura de
TI, para así poder verificar el uso y aplicación del manual.
142 Ing. Julio César Becerra Lino
7.1 PROCESO: BAI01-GESTIONAR LOS PROGRAMAS Y PROYECTOS
7.1.1 DEFINICIÓN DEL PROCESO BAI01
7.1.1.1 DEFINICIÓN
FORMULARIO NRO. 2: Definición del Proceso Fecha 15/Nov/2016 DEFINICIÓN (Qué) Código BAI01 Dominio Construir, Adquirir e Implementar Nombre del Proceso:
Gestionar los programas y proyectos
OBJETIVOS (Por qué) Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.
Requerimientos de negocio a alcanzar Alcanzar los beneficios de negocio y reducir el riesgo de retrasos y costes inesperados y el deterioro del valor, mediante la mejora de las comunicaciones y la involucración de usuarios finales y de negocio, asegurando el valor y la calidad de los entregables del proyecto y maximizando su contribución al portafolio de servicios e inversiones.
ROLES (Quién) Dueño(s) Desarrollo y Soporte de Aplicaciones y Redes y
Telecomunicaciones Responsable(s) Jefe de TI Controlador(es) Encargado de Mejora de Procesos Cliente(s) Todos los departamentos de la empresa Granos a través de
las Jefaturas de cada área. Proveedor(es) UBICACIÓN (Donde)
Ubicación
Todos los departamentos de la empresa Granos donde así lo requieran
TIEMPO (Cuando) Ejecución Bajo Demanda Frecuencia No Aplicable RECURSOS (Cómo)
Recursos de TI que se van a utilizar:
Gente X Instalaciones X Aplicaciones X Datos Tecnología X
Formulario Caso de Uso N° 1: Definición del Proceso BAI01
143 Ing. Julio César Becerra Lino
7.1.1.2 DIAGRAMA DE FLUJO
FORMULARIO NRO. 3: Diagrama de Flujos Proceso: BAI01-Gestionar los programas y proyectos
Creado por: Analista Revisado por: Jefe de TI Aprobado por: Jefe de TI
Fecha última aprobación: 15/Nov/2016 Fecha próxima revisión: 1/Feb/2016
INICIO
Recibir Solicitud de Requerimiento
Definir Objetivos del Negocio
Definir Beneficios del Proyecto
Definir Alcance del Proyecto
Identificar Riesgos del Proyecto
Estimar Recursos para el Proyecto
Proyecto es Aprobado?
Desarrollo del Proyecto
Ejecutar Pruebas
Elaborar Documentación
Realizar capacitación
Entregar Proyecto a Clientes
El proyecto puede ser entregado?
Evaluar y Cerrar el Proyecto
Fin
Reportes
SI
SI
NO
Analizar y Documentar los
motivos del rechazo
NO
Registro de
Proyecto
Formulario Caso de Uso N° 2: Diagrama de Flujo del Proceso BAI01
144 Ing. Julio César Becerra Lino
7.1.1.3 INVENTARIO DE ACTIVIDADES
FORMULARIO NRO. 4: Inventario de Actividades Fecha: 15/Nov/2016
Código BAI01
Dominio Construir, Adquirir e Implementar
Nombre del Proceso Gestionar los programas y proyectos
Práctica de Gobierno y Gestión
Nombre Actividad Responsable Entradas Salidas
BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos.
1. Mantener y reforzar un enfoque estándar de la gestión de programas y proyectos alineados al entorno específico de la empresa y a las buenas prácticas basadas en procesos definidos y el uso de tecnología apropiada. Asegurar que el enfoque cubra todo el ciclo de vida y las disciplinas a utilizar, incluyendo la gestión de alcance, recursos, riesgos, costes, calidad, tiempo, comunicaciones, involucración de las partes interesadas, adquisiciones, control de cambios, integración y generación de beneficios.
Dueño Requisitos de Revisión
Enfoques Actualizados
2. Actualizar el enfoque de gestión de programas y proyectos sobre la base de las lecciones aprendidas en su uso.
Dueño Requisitos de Revisión
Enfoques Actualizados
BAI01.02 Iniciar un programa.
1. Acordar el patrocinio del programa y designar una Junta/Comité con miembros que tengan intereses estratégicos en el programa y con responsabilidad en la toma de decisiones de inversión, que serán afectados significativamente por el programa y que serán necesarios para facilitar el cambio.
Cliente/Dueño Requisitos de Recursos
Mandato y expediente del programa
2. Confirmar el mandato del programa con los patrocinadores y las partes interesadas. Articular los objetivos estratégicos para el programa, las estrategias potenciales de entrega, las mejoras y los beneficios que se esperan y cómo el programa encaja con otras iniciativas.
Cliente/Dueño Visión y Misión Comunes
Plan de realización de beneficios del programa
3. Desarrollar un caso de negocio detallado para el programa, si se justifica. Involucrar a todas las partes interesadas relevantes para desarrollar y documentar un entendimiento completo de los resultados esperados por la empresa, cómo serán medidos estos resultados, el alcance total de las iniciativas requeridas, el riesgo involucrado y el impacto en todos los aspectos de la empresa. Identificar y evaluar los cursos de acción alternativos para lograr los resultados esperados por la empresa.
Cliente/Dueño Fases de Implementación
Caso de negocio de concepto del programa
4. Desarrollar un plan de realización de beneficios que será gestionado durante todo el programa para asegurar que los beneficios planificados siempre tengan propietarios, se logren, sostengan y optimicen.
Cliente/Dueño Habilidades y Competencias
Plan de realización de beneficios del programa
5. Preparar y someter a aprobación preliminar el caso de negocio inicial (conceptual) del programa, proporcionando información esencial para la toma
Cliente/Dueño Habilidades y
Caso de negocio de concepto
145 Ing. Julio César Becerra Lino
de decisiones respecto del propósito, la contribución a los objetivos del negocio, la creación de valor esperado, los márgenes de tiempo, etc.
Competencias
del programa
6. Designar un gerente dedicado para el programa, con las competencias y habilidades adecuadas para gestionar el programa de forma eficiente y efectiva.
Cliente/Dueño des y Competencias
Mandato y expediente del programa
BAIO01.03 Gestionar el compromiso de las partes interesadas.
1. Planificar la forma en que las partes interesadas internas y externas de la empresa serán identificadas, analizadas, comprometidas, y gestionadas a lo largo del ciclo de vida de los proyectos.
Cliente/Dueño Plan de involucración de las partes interesadas
2. Identificar, comprometer y gestionar a las partes interesadas, estableciendo y manteniendo niveles apropiados de coordinación, comunicación y vinculación para asegurar que estén involucrados en los programas/proyectos.
Cliente/Dueño Plan de involucración de las partes interesadas
3. Medir la efectividad del compromiso de las partes interesadas y tomar acciones de remediación si es necesario.
Cliente/Dueño Resultados de la evaluación de efectividad del compromiso de las partes interesadas
4. Analizar los intereses y los requisitos de las partes interesadas. Cliente/Dueño Resultados de la evaluación de efectividad del compromiso de las partes interesadas
BAI01.04 Desarrollar y mantener el plan de programa.
1. Definir y documentar el plan de programa cubriendo todos los proyectos, incluyendo lo que sea necesario para lograr cambios en la empresa; su imagen, productos y servicios, procesos de negocio, habilidades y cantidad de personal, requerimientos tecnológicos, relaciones con las partes interesadas, clientes, proveedores, entre otros, así como las reestructuraciones organizacionales necesarias para lograr los resultados que la empresa espera del programa.
Cliente/Dueño Inventario de recursos humanos de TI y del negocio
Requerimientos de recursos y roles
2. Especificar las habilidades y los recursos necesarios para ejecutar el proyecto, incluyendo los gerentes y los equipos del proyecto, así como los recursos del negocio. Especificar la financiación, coste, cronograma y las interdependencias de los múltiples proyectos. Especificar las bases para la contratación y asignación de miembros del personal competentes y/o contratistas a los proyectos. Definir los roles y las responsabilidades para todos los miembros del equipo y otras partes interesadas.
Cliente/Dueño Inventario de recursos humanos de TI y del negocio
3. Asignar la responsabilidad ejecutiva para cada proyecto en forma clara y sin ambigüedades, incluyendo el logro de los beneficios, el control de costes, la gestión de riesgos y la coordinación de las actividades de los proyectos.
Cliente/Dueño Equipo y roles para la implementación
Requerimientos de recursos y roles
4. Asegurar que existe una comunicación efectiva de los planes de programa e informes de avance sobre todos los proyectos y con todo el programa. Asegurar que cualquier cambio hecho en los planes individuales se refleje en el resto de planes de programa de la empresa.
Cliente/Dueño Plan de comunicación de la visión
5. Mantener el plan de programa para asegurar que esté actualizado y refleje su alineamiento con los objetivos estratégicos actuales, el nivel de avance y los cambios materiales en los resultados,
Cliente/Dueño Plan de comunicació
146 Ing. Julio César Becerra Lino
beneficios, costes y riesgos. La empresa tiene que difundir los objetivos y priorizar los trabajos para asegurar que el programa diseñado satisfará los requerimientos de la empresa. Revisar el avance de los proyectos individuales, ajustándolos si fuera necesario para satisfacer las entregas planificadas.
n de la visión
6. Actualizar y mantener el caso de negocio y el registro de beneficios a lo largo de la vida económica del programa para identificar y definir los beneficios principales surgidos de los programas ejecutados.
Cliente/Dueño
7. Preparar un presupuesto del programa que refleje los costes del ciclo de vida económico completo, así como los beneficios financieros y no financieros asociados.
Cliente/Dueño
BAI01.05 Lanzar y ejecutar el programa.
1. Planificar, dar recursos y asignar las responsabilidades requeridas para los proyectos necesarios para logar los resultados del programa, basados enç las revisiones de financiación y las aprobaciones en cada revisión de cambio de fase (stage-gate).
2. Establecer etapas acordadas para el proceso de desarrollo (puntos de verificación del desarrollo). Al final de cada etapa, facilitar discusiones formales de los criterios aprobados con las partes interesadas. Después de la finalización exitosa de la revisión de funcionalidad, rendimiento y calidad, y antes de finalizar las actividades de la etapa, obtener la aprobación formal y la firma de todas las partes interesadas y del patrocinador/propietario del proceso de negocio.
3. Llevar a cabo un proceso de obtención de beneficios durante el programa para asegurar que los beneficios planeados siempre tienen propietarios y que es probable que se consigan, mantengan y se optimicen. Supervisar la entrega de beneficios e informar con relación a las metas de rendimiento en la revisión de los cambios de fase o de iteración o en las revisiones de lanzamiento. Realizar análisis de causa-raíz para las desviaciones del plan e identificar y tomar las acciones correctivas necesarias.
4. Administrar cada programa o proyecto para asegurar que la toma de decisiones y las actividades de entrega están enfocadas en el valor mediante la consecución de los beneficios y las metas del negocio de una manera consistente, considerando el riesgo y alcanzando los requerimientos de las partes interesadas.
5. Establecer oficina(s) de gestión de programas/proyectos y planificar auditorías, revisiones de calidad, revisiones de cambios de fase (stage-gate) y revisiones de los beneficios realizados.
BAI01.06 Supervisar, controlar e informar de los resultados del programa.
1. Supervisar y controlar el rendimiento del programa general y de los proyectos dentro del programa, incluyendo la contribución al negocio y a TI de los proyectos, e informar de una manera oportuna, complete y veraz. Los informes pueden incluir cronogramas, financiación, funcionalidad, satisfacción del usuario, controles internos y aceptación de responsabilidades.
2. Supervisar y controlar el desempeño versus las estrategias y metas de la organización y TI e informar a la dirección de la organización de los cambios implementados, los beneficios logrados versus el plan y la idoneidad del proceso de obtención de beneficios.
3. Supervisar y controlar los servicios, activos y recursos de TI creados o modificados como resultado del programa. Verificar las fechas de implementación y puesta en servicio. Informar a la dirección de los niveles de rendimiento, entrega de servicio sostenido y contribución al valor.
4. Gestionar el desempeño del programa versus criterios claves (por ejemplo, alcance, planificación, calidad, obtención de beneficios, costes, riesgos, rapidez), identificar las desviaciones del plan y tomar oportunamente acciones correctivas cuando sean requeridas.
5. Supervisar el desempeño de proyectos individuales en relación a la entrega de unas esperadas capacidades, planificaciones, beneficios, costes, riesgos u otras métricas para identificar impactos potenciales en el rendimiento del programa. Tomar acciones correctivas oportunas cuando sea
147 Ing. Julio César Becerra Lino
requerido.
6. Actualizar los portafolios operacionales de TI que reflejen los cambios que resultan de los programas en los portafolios relevantes de servicios, activos y recursos de TI.
7. Realizar revisiones de acuerdo con los criterios de revisión de cambios de fase (stage-gate), de lanzamiento o de iteración para informar del progreso del programa para que la dirección puedan tomar decisiones de continuar/parar o de ajuste y aprobar financiación adicional para el siguiente cambio de fase, lanzamiento o iteración.
BAI01.07 Lanzar e iniciar proyectos dentro de un programa.
1. Crear un entendimiento común del alcance del proyecto entre las partes interesadas, proveer a las partes interesadas de una declaración clara y por escrito que defina la naturaleza, alcance y beneficio de cada proyecto.
2. Asegurar que cada proyecto tenga uno o más patrocinadores con suficiente autoridad para gestionar la ejecución del proyecto dentro los programas generales.
3. Asegurar que las partes interesadas y patrocinadores claves dentro de la organización y TI estén de acuerdo y acepten los requerimientos de los
4. Asegurar que la definición del proyecto describa los requerimientos para el plan de comunicación del proyecto que identifique las comunicaciones del proyecto, tanto internas como externas.
5. Con la aprobación de las partes interesadas, mantener una definición del proyecto durante la vida del proyecto que refleje los cambios en los requerimientos.
6. Hacer un seguimiento de la ejecución del proyecto, poniendo mecanismos tales como informes regulares y revisiones de cambios de estado (stagegate), lanzamientos o fases de una manera oportuna y con una aprobación adecuada.
BAI01.08 Planificar proyectos.
1. Desarrollar un plan de proyecto que provea información que permita a la dirección controlar el progreso del proyecto progresivamente. El plan debería incluir detalles de los entregables del proyecto y criterios de aceptación, recursos y responsabilidades requeridas interna y externamente, estructuras claras de división de trabajo y paquetes de tareas, estimaciones de recursos necesarios, hitos/planes de lanzamiento/fases, dependencias claves y la identificación del camino critico (critical path).
2. Mantener el plan del proyecto y cualquier plan dependiente (por ejemplo, plan de riesgo, plan de calidad, plan de obtención de beneficios) para asegurar que están actualizados y reflejan su progreso real y los cambios materiales aprobados.
3. Asegurar que existe una comunicación efectiva de los planes del proyecto y los informes de progreso dentro de todos los proyectos y dentro del programa general. Asegurar que los cambios hechos a planes individuales son reflejados en otros planes.
4. Determinar las actividades, interdependencias, colaboración necesaria y comunicación dentro los múltiples proyectos en el programa.
5. Asegurarse que cada hito es acompañado por un entregable significativo que requiere revisión y aprobación.
6. Establecer un marco base del proyecto (por ejemplo, coste, cronograma, alcance, calidad) que es debidamente revisado, aprobado e incorporado en el plan de proyectos integrado.
BAI01.09 Gestionar la calidad de los programas y proyectos.
1. Identificar las actividades y prácticas de aseguramiento para apoyar la acreditación sistemas nuevos o modificados durante la planificación del programa y del proyecto e incluirlos dentro de los planes integrados. Asegurarse que las tareas provean garantías de que las soluciones de seguridad y los controles internos cumplen con los requerimientos definidos.
2. Proporcionar garantías de calidad para los entregables del proyecto, identificar a propietarios y
148 Ing. Julio César Becerra Lino
responsabilidades, revisar el proceso de calidad, criterios de éxito y las métricas de desempeño.
3. Definir cualquier requerimiento para la validación y verificación independientes de la calidad de los entregables en el plan.
4. Realizar aseguramiento de la calidad y actividades de control de acuerdo con el plan de gestión de la calidad y el SGC.
BAI01.10 Gestionar el riesgo de los programas y proyectos.
1. Establecer un enfoque de gestión de riesgo de proyectos alineado con el marco de referencia de ERM. Asegurar que este enfoque incluya la identificación, análisis, respuesta, mitigación, supervisión y control del riesgo.
2. Asignar la responsabilidad para ejecutar el proceso de gestión del riesgo de los proyectos de la entidad al personal con las capacidades adecuadas y asegurar que está incorporado en las prácticas de desarrollo de la solución. Considerar asignar este perfil a un equipo independiente, especialmente si es necesario un punto de vista objetivo o el proyecto se considera crítico.
3. Realizar un análisis de riesgo del proyecto para identificar y cuantificar el riesgo de manera continua durante el proyecto. Gestionar y comunicar el riesgo adecuadamente dentro de la estructura de gobierno del proyecto.
4. Reevaluar el riesgo del proyecto periódicamente, incluyendo al inicio de cada fase de un proyecto importante y como parte de las evaluaciones de solicitudes de cambios importantes.
5. Identificar los propietarios de las acciones para evitar, aceptar o mitigar el riesgo.
6. Mantener y revisar el registro de los riesgos potenciales del proyecto y el registro de la mitigación de riesgos de todos los aspectos del proyecto y su resolución. Analizar periódicamente el registro para ver tendencias y problemas recurrentes y asegurarse que se corrigen las causas raíz.
BAI01.11 Supervisar y controlar proyectos.
1. Establecer y usar un conjunto de criterios de proyecto que incluyan, pero no limitados a, alcance, planificación, calidad, coste y nivel de riesgo.
2. Medir el rendimiento del proyecto versus criterios claves de rendimiento. Analizar las desviaciones de criterios claves de desempeño por su causa y evaluar los efectos positivos y negativos en el programa y los proyectos que lo componen.
3. Notificar el progreso del proyecto dentro del programa, las desviaciones de los criterios claves de desempeño establecido y los efectos positivos y negativos en los programas y en los proyectos que los componen a las partes interesadas identificadas como claves.
4. Supervisar los cambios al programa y revisar los criterios claves de desempeño del proyecto para determinar si estos representan medidas válidas del avance.
5. Documentar y enviar cualquier cambio al programa a las partes interesadas claves antes de su adopción. Comunicar los criterios revisados a los jefes de proyecto para su uso en los informes futuros de desempeño.
6. Recomendar y supervisar las acciones correctivas, cuando sean requeridas, en línea con el marco de gobierno de programas y proyectos.
7. Obtener la aprobación y firma documentada de los entregables producidos en cada iteración, lanzamiento o fase del proyecto de los gestores y usuarios designados que afectan las funciones del negocio y a TI.
8. Basar el proceso de aprobación en criterios de aceptación claramente definidos y acordados con las partes interesadas claves antes de que comience el trabajo sobre el entregable de la fase o de la iteración.
9. Evaluar el proyecto en los cambios de fase (stage-gate), versiones o iteraciones más importantes acordados y tomar la decisión de continuar/parar de acuerdo con criterios de éxito
149 Ing. Julio César Becerra Lino
predeterminados.
10. Establecer y operar un sistema de control de cambios para el proyecto de forma que todos los cambios a la línea de referencia (baseline) del proyecto (por ejemplo, coste, cronograma, alcance, calidad) sean adecuadamente revisados, aprobados e incorporados en el plan de proyecto integrado en línea con el marco de gobierno del programa y proyectos.
BAI01.12 Gestionar los recursos y los paquetes de trabajo del proyecto.
1. Identificar las necesidades de recursos del negocio y TI para el proyecto y mapear claramente los perfiles y responsabilidades, con las responsabilidades para la escalado y la toma de decisiones que han sido acordadas y entendidas.
2. Identificar los requerimientos de habilidades y tiempo para todos los individuos involucrados en las fases del proyecto con relación a sus perfiles definidos. Asignar personal a los roles basándose en la información sobre las habilidades disponibles (p.ej. matriz de habilidades de TI).
3. Utilizar un gestor de proyecto experimentado y un líder de equipo con habilidades apropiadas al tamaño, complejidad y riesgo del proyecto.
4. Considerar y definir claramente los roles y responsabilidades de otras partes involucradas, incluyendo financiero, legal, compras, RRHH, auditoría interna y cumplimiento.
5. Definir y acordar claramente la responsabilidad sobre la compra y gestión de productos y servicios de terceras partes, así como la gestión de las relaciones.
6. Identificar y autorizar la ejecución del trabajo de acuerdo al plan de proyecto.
7. Identificar las diferencias con el plan de proyecto y dar realimentación al jefe de proyecto para su remediación.
BAI01.13 Cerrar un proyecto o iteración.
1. Definir y aplicar los pasos claves para el cierre del proyecto, incluyendo revisiones post-implementación que evalúen si el proyecto obtuvo los resultados y beneficios deseaos.
2. Planificar y ejecutar revisiones post-implementación para determinar si los proyectos entregaron los beneficios esperados y para mejorar la metodología de gestión de proyecto y el proceso de desarrollo de sistemas.
3. Identificar, asignar, comunicar y rastrear las actividades incompletas necesarias para lograr los resultados y beneficios planeados del programa del proyecto.
4. Recolectar las lecciones aprendidas de los participantes del proyecto regularmente y hasta la finalización del proyecto. Revíselas e identifique las actividades claves que llevaron a los beneficios y valor entregados. Analice los datos y haga recomendaciones para mejorar los proyectos actuales así como el método de gestión para proyectos futuros.
5. Obtenga la aceptación de los entregables y la transferencia de propiedad del proyecto de las partes interesadas
BAI01.14 Cerrar un programa.
1. Llevar el programa a un cierre ordenado, incluyendo una aprobación formal, desmantelamiento de la organización del programa y la función de apoyo, validación de los entregables y comunicación de la retirada.
2. Revisar y documentar las lecciones aprendidas. Una vez que el programa ha sido retirado, elimínelo del portafolio de inversiones activas.
3. Establecer la responsabilidad y los procesos para asegurar que la organización continúe la optimización del valor de los servicios, activos o recursos. Pueden ser necesarias inversiones adicionales en el futuro para asegurarse que esto ocurra.
Formulario Caso de Uso N° 3: Inventario de Actividades del Proceso BAI01
150 Ing. Julio César Becerra Lino
7.1.2 EVALUACIÓN DEL PROCESO BAI01
7.1.2.1 MÉTRICAS RELACIONADAS A LAS METAS DE TI
FORMULARIO NRO. 5: Evaluación del Proceso (Métricas relacionada a las metas de TI)
Código Proceso BAI01
Nombre del Proceso
Gestionar los programas y proyectos
Descripción del Proceso
Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar,
planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.
Fecha Última Actualización 16/Nov/2016
Elaborado por Analista de Sistemas
Revisado por Jefe de TI
Metas de TI Métrica Valor Máximo Esperado
Valor Real
Indicador Efectividad (%)
Fecha
01 Alineamiento de TI
y la estrategia de
negocio
Porcentaje de las metas y requerimientos estratégicos de la empresa soportados por las metas estratégicas para TI
100 70 70 16/Nov/2016
Nivel de satisfacción de las partes interesadas con el alcance del portafolio de programas y servicios planeados
3 2 66.66 16/Nov/2016
Porcentaje de los facilitadores de valor de TI mapeados con facilitadores de valor del negocio
100 60 60 16/Nov/2016
04 Riesgos de negocio relacionados con las TI gestionados
Porcentaje de procesos de negocio críticos, servicios TI y programas de negocio habilitados por las TI cubiertos por evaluaciones de riesgos
100 0 0 16/Nov/2016
Número de incidentes significativos relacionados con las TI que no fueron identificados en la evaluación de riesgos
0 10
(por mes)
0 16/Nov/2016
Porcentaje de evaluaciones de riesgo de la empresa que incluyen los riesgos relacionados con TI
100 0 0 16/Nov/2016
151 Ing. Julio César Becerra Lino
Frecuencia de actualización del perfil de riesgo 100 0 0 16/Nov/2016
Realización de beneficios del portafolio de inversiones y servicios relacionados con las TI
Porcentaje de inversiones de TI en los que la realización del beneficio se monitoriza a través del ciclo de vida económico completo.
100 20 20 16/Nov/2016
Porcentaje de servicios TI en los que se realizan los beneficios esperados.
100 70 70 16/Nov/2016
Porcentaje de las inversiones en TI donde los beneficios demandados son alcanzados o excedidos.
100 80 80 16/Nov/2016
13 Entrega de programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad
Número de programas/proyectos ejecutados en plazo y en presupuesto
100 40 40 16/Nov/2016
Porcentaje de partes interesadas satisfechas con la calidad del programa/proyecto
100 50 50 16/Nov/2016
Número de programas que necesitan ser revisados significativamente debido a defectos de calidad
20 10 50 16/Nov/2016
Coste del mantenimiento de aplicaciones respecto al coste total de TI
100 70 70 16/Nov/2016
Formulario Caso de Uso N° 4: Evaluación del Proceso (Métricas relacionada a las metas de TI) para el Proceso BAI01
152 Ing. Julio César Becerra Lino
7.1.2.2 MÉTRICAS RELACIONADAS A LAS METAS DEL PROCESO
FORMULARIO NRO. 6: Evaluación del Proceso (Métricas relacionada a las metas del proceso)
Código Proceso BAI01
Nombre del Proceso
Gestionar los programas y proyectos
Descripción del Proceso
Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar,
planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.
Fecha Última Actualización 16/Nov/2016
Elaborado por Analista de Sistemas
Revisado por Jefe de TI
Metas de Proceso Métrica Valor Máximo Esperado
Valor Real
Indicador Efectividad (%)
Fecha
1. Las partes interesadas relevantes están comprometidas con los programas y los proyectos.
Porcentaje de partes interesadas efectivamente comprometidas 100 60 60 16/Nov/2016
Nivel de satisfacción con la involucración de las partes interesadas 100 60 60 16/Nov/2016
2. El alcance y los resultados de los programas y proyectos son viables y están alineados con los objetivos.
Porcentaje de grupos de interés que aprueban las necesidades de la empresa, el alcance, los resultados esperados y el nivel de riesgo del proyecto
100 80 80 16/Nov/2016
Porcentaje de proyectos emprendidos sin casos de negocio
aprobados
100 40 40 16/Nov/2016
3. Los planes de programas y proyectos tienen probabilidades de lograr los resultados esperados.
Porcentaje de actividades alineadas al alcance y a los resultados esperados
100 60 60 16/Nov/2016
Porcentaje de programas activos emprendidos sin mapas de valor de programa actualizados y válidos
100 80 80 16/Nov/2016
4. Las actividades de los programas y
Frecuencia de revisiones de estado 100 20 20 16/Nov/2016
153 Ing. Julio César Becerra Lino
proyectos se ejecutan de acuerdo a los planes.
Porcentaje de desviaciones del plan de referencia 100 40 40 16/Nov/2016
Porcentaje de partes interesadas que firman las revisiones de cambio de estado (stage-gate) de los programas activos
100 20 20 16/Nov/2016
5. Existen suficientes recursos de los programas y proyectos para realizar las actividades de acuerdo a los planes.
Número de incidentes con recursos (por ejemplo, habilidades,
capacidad)
100 30 30 16/Nov/2016
6. Los beneficios esperados de los programas y proyectos son obtenidos y aceptados.
Porcentaje de beneficios esperados que se han alcanzado 100 70 70 16/Nov/2016
Porcentaje de resultados aceptados al primer intento 100 30 30 16/Nov/2016
Nivel de satisfacción expresada por las partes interesadas en las revisiones de cierre de proyectos
100 10 10 16/Nov/2016
Formulario Caso de Uso N° 5: Evaluación del Proceso (Métricas relacionada a las metas de Proceso) para el Proceso BAI01
154 Ing. Julio César Becerra Lino
7.1.3 CUMPLIMIENTO DEL PROCESO BAI01
FORMULARIO NRO. 7: Cumplimiento del proceso
Código Proceso BAI01 Nombre del Proceso
Gestionar los programas y proyectos
Fecha Última Actualización 17/Nov/2016
Elaborado por Analista de Sistemas Prácticas de Gobierno y Gestión Definido Documentado Comunicado Implantado Actualizado Monitoreado Próxima
Revisión
BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
BAI01.02 Iniciar un programa.
Si_X_ No__
Si__ No_X_
Si_X_ No__
Si_X_ No__
Si_X_ No__
Si__ No_X_
1/Feb/2017
BAI01.03 Gestionar el compromiso de las partes interesadas.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
BAI01.04 Desarrollar y mantener el plan de programa.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
BAI01.05 Lanzar y ejecutar el programa.
Si_X_ No__
Si__ No_X_
Si_X_ No__
Si_X_ No__
Si_X_ No__
Si__ No_X_
1/Feb/2017
BAI01.06 Supervisar, controlar e informar de los resultados del programa.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
BAI01.07 Lanzar e iniciar proyectos dentro de un programa.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
155 Ing. Julio César Becerra Lino
BAI01.08 Planificar proyectos.
Si_X_ No__
Si__ No_X_
Si_X_ No__
Si__ No_X_
Si_X_ No__
Si__ No_X_
1/Feb/2017
BAI01.09 Gestionar la calidad de los programas y proyectos.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
BAI01.10 Gestionar el riesgo de los programas y proyectos.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
BAI01.11 Supervisar y controlar proyectos.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
BAI01.12 Gestionar los recursos y los paquetes de trabajo del proyecto.
Si_X_ No__
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
BAI01.13 Cerrar un proyecto o iteración.
Si_X_ No__
Si__ No_X_
Si_X_ No__
Si_X_ No__
Si__ No_X_
Si__ No_X_
1/Feb/2017
BAI01.14 Cerrar un programa.
Si_X_ No__
Si__ No_X_
Si_X_ No__
Si_X_ No__
Si__ No_X_
Si__ No_X_
1/Feb/2017
Dueño del Proceso Analista de Sistemas
------------------------ Responsable Proceso
Jefe de TI ------------------------
Controlador Encargado de Mejora de Procesos
------------------------ Cliente ------------------------
Proveedor ------------------------
Formulario Caso de Uso N° 6: Cumplimiento del BAI01
156 Ing. Julio César Becerra Lino
7.2 PROCESO: DSS02- GESTIONAR LAS PETICIONES Y LOS INCIDENTES
DEL SERVICIO
7.2.1 DEFINICIÓN DEL PROCESO DSS02
7.2.1.1 DEFINICIÓN
FORMULARIO NRO. 2: Definición del Proceso Fecha 15/Nov/2016
DEFINICIÓN (Qué)
Código DSS02
Dominio Entrega, Servicio y Soporte
Nombre del Proceso:
Gestionar las peticiones y los incidentes del servicio
OBJETIVOS (Por qué)
Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
Requerimientos de negocio a alcanzar
Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de consultas de usuario e incidentes.
ROLES (Quién)
Dueño(s) “Soporte y Help Desk”, “Desarrollo y Soporte de Aplicaciones” y “Redes y Telecomunicaciones”
Responsable(s) Jefe de TI
Controlador(es) Encargado de Mejora de Procesos
Cliente(s) Todos los departamentos de la empresa Granos a través de las Jefaturas de cada área.
Proveedor(es) Proveedores de servicios y contratistas externos
UBICACIÓN (Donde)
Ubicación
Todos los departamentos de la empresa Granos donde así lo requieran
TIEMPO (Cuando)
Ejecución Bajo Demanda
Frecuencia No Aplicable
RECURSOS (Cómo)
Recursos de TI que se van a utilizar:
Gente X Instalaciones X
Aplicaciones X Datos X
Tecnología X
Formulario Caso de Uso N° 7: Definición del Proceso DSS02
157 Ing. Julio César Becerra Lino
7.2.1.2 DIAGRAMA DE FLUJO
FORMULARIO NRO. 3: Diagrama de Flujos Proceso: DSS02- Gestionar las peticiones y los incidentes del servicio Creado por: Analista Revisado por: Jefe de TI Aprobado por: Jefe de TI
Fecha última aprobación: 15/Nov/2016 Fecha próxima revisión: 1/Feb/2016
INICIO
Solicita soporte técnico de software
o hardware
Analiza la solicitud
Aprueba la solicitud?
SI
Solicitud de soporte
Programa el servicioRespuesta del
rechazo
NO
Registro de la solicitud
El técnico es atendido por el
solicitante?
Registra la visita
NO
Detalla las acciones para dar solución
Presta el servicio
Establece las actividades para el escalamiento del
problema y posterior solución a
la falla
El soporte técnico cumplió el objetivo?
NO
Verifica la solución de la falla
SI
Registro de planilla de atención a
usuarios
Firma la aceptación del solicitante
Registra observaciones
FINSI
Formulario Caso de Uso N° 8: Diagrama de flujo del Proceso DSS02
158 Ing. Julio César Becerra Lino
7.2.1.3 INVENTARIO DE ACTIVIDADES
FORMULARIO NRO. 4: Inventario de Actividades Fecha: 15/Nov/2016 Código DSS02 Dominio Entrega, Servicio y Soporte
Nombre del Proceso Gestionar las peticiones y los incidentes del servicio Práctica de Gobierno y Gestión
Nombre Actividad Responsable Entradas Salidas
DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio.
1. Definir esquemas de clasificación y priorización de incidentes y peticiones de servicio y criterios para el registro de problemas, para asegurar enfoques consistentes en el tratamiento, informando a los usuarios y realizando análisis de tendencias.
Cliente / Dueño Esquema de clasificación de problemas
Esquemas y modelos de clasificación de incidentes y peticiones de servicio
2. Definir modelos de incidentes para errores conocidos con el fin de facilitar su resolución eficiente y efectiva.
Cliente / Dueño Acciones y comunicaciones de respuesta a incidentes
Esquemas y modelos de clasificación de incidentes y peticiones de servicio
3. Definir modelos de peticiones de servicio según el tipo de petición de servicio correspondiente para facilitar la auto-ayuda y el servicio eficiente para las peticiones estándar.
Cliente / Dueño Esquema de clasificación de problemas
Criterios para registro de problemas
4. Definir reglas y procedimientos de escala de incidentes, especialmente para incidentes importantes e incidentes de seguridad.
Cliente / Dueño Reglas de monitorización de activos y condiciones de eventos
Reglas para escalado de incidentes
5. Definir fuentes de conocimiento de incidentes y peticiones y su uso. Cliente / Dueño Esquema de clasificación de problemas
Criterios para registro de problemas
DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes.
1. Registrar todos los incidentes y peticiones de servicio, registrando toda la información relevante de forma que pueda ser manejada de manera efectiva y se mantenga un registro histórico completo.
Cliente / Dueño Tiques de incidentes de seguridad
Registro de incidentes y peticiones de servicio
2. Para posibilitar análisis de tendencias, clasificar incidentes y peticiones de servicio identificando tipo y categoría.
Cliente / Dueño Reglas de supervisión de activos y
Incidentes y peticiones de servicio
159 Ing. Julio César Becerra Lino
condiciones de eventos
clasificados y priorizados
3. Priorizar peticiones de servicio e incidentes según la definición de impacto en el negocio del ANS y la urgencia.
Cliente / Dueño Reglas de supervisión de activos y condiciones de eventos
Incidentes y peticiones de servicio clasificados y priorizados
DSS02.03 Verificar, aprobar y resolver peticiones de servicio.
1. Verificar los derechos para realizar peticiones de servicio usando, cuando sea posible, un flujo de proceso predefinido y cambios estándar.
Cliente / Dueño Causas raíz relacionadas con riesgos
Peticiones de servicio completas
2. Obtener aprobación financiera y funcional o firmada, si se requiere, o aprobaciones predefinidas para cambios estándar acordados.
Cliente / Dueño Causas raíz relacionadas con riesgos
Peticiones de servicio aprobadas
3. Completar las peticiones siguiendo el procedimiento de petición seleccionado, utilizando, cuando sea posible, menús automáticos de autoayuda y modelos de petición predefinidos para los elementos solicitados frecuentemente.
Cliente / Dueño Causas raíz relacionadas con riesgos
Peticiones de servicio completas
DSS02.04 Investigar, diagnosticar y localizar Incidentes.
1. Identificar y describir síntomas relevantes para establecer las causas más probables de los incidentes. Hacer referencia a los recursos de conocimiento disponibles (incluyendo errores y problemas conocidos) para identificar posibles resoluciones de incidentes (soluciones temporales y/o soluciones permanentes).
Cliente / Dueño Plan de soporte adicional
Síntomas de incidentes
2. Registrar un nuevo problema si un problema relacionado o error conocido no existe aún y si el incidente satisface los criterios acordados para registro de problemas.
Cliente / Dueño Plan de soporte adicional
Registro de problemas
3. Asignar incidentes a funciones especialistas si se necesita de un conocimiento más profundo, e implicar al nivel de gestión apropiado, cuando sea necesario.
Cliente / Dueño Plan de soporte adicional
Registro de problemas
DSS02.05 Resolver y recuperarse ante incidentes.
1. Seleccionar y aplicar las resoluciones de incidentes más apropiadas (soluciones provisionales y/o soluciones permanentes).
Cliente / Dueño Planes de respuesta a incidentes relacionados con riesgos
Resoluciones de incidentes
2. Registrar si se usaron soluciones temporales para resolver los incidentes. Cliente / Dueño Registros de errores conocidos
Resoluciones de incidentes
3. Ejecutar acciones de recuperación, si se requieren. Cliente / Dueño Planes de respuesta a incidentes relacionados con riesgos
Resoluciones de incidentes
4. Documentar la resolución del incidente y evaluar si puede usarse como una fuente Cliente / Dueño Registros de errores
Resoluciones de incidentes
160 Ing. Julio César Becerra Lino
de conocimiento en el futuro. conocidos
DSS02.06 Cerrar peticiones de servicio e incidentes.
1. Verificar con los usuarios afectados (si lo han acordado) que la petición de servicio ha sido completada o el incidente ha sido resuelto de manera satisfactoria.
Cliente / Dueño Registros de problemas cerrados
Peticiones de servicio e incidentes cerrados
2. Cerrar peticiones de servicio e incidentes. Cliente / Dueño Registros de problemas cerrados
Confirmación del usuario de resolución o cumplimiento satisfactorios
DSS02.07 Seguir el estado y emitir de informes.
1. Supervisar y hacer seguimiento del escalado de incidentes y de resoluciones y de los procedimientos de gestión de resoluciones para progresar hacia la resolución o cumplimentación.
Cliente / Dueño Informes de resolución de problemas
Informe de estado y tendencias de incidentes
2. Identificar la información para las partes interesadas y sus necesidades de datos o informes. Identificar la frecuencia y el medio para informarles.
Cliente / Dueño Informes de resolución de problemas
Informes de estado de cumplimiento de peticiones y tendencias
3. Analizar incidentes y peticiones de servicio por categoría y tipo para establecer tendencias e identificar patrones de asuntos recurrentes, infracciones de ANSs o ineficiencias. Utilizar la información como entrada a la planificación de la mejora continua.
Cliente / Dueño Informes de monitorización de resolución de problemas
Informes de estado de cumplimiento de peticiones y tendencias
4. Producir y distribuir informes en tiempo o proporcionar acceso controlado a datos online.
Cliente / Dueño Informes de estado de problemas
Informes de estado de cumplimiento de peticiones y tendencias
Formulario Caso de Uso N° 9: Inventario de Actividades del Proceso DSS02
161 Ing. Julio César Becerra Lino
7.2.2 EVALUACIÓN DEL PROCESO DSS02
7.2.2.1 MÉTRICAS RELACIONADAS A LAS METAS DE TI
FORMULARIO NRO. 5: Evaluación del Proceso (Métricas relacionada a las metas de TI)
Código Proceso DSS02
Nombre del Proceso
Gestionar las peticiones y los incidentes del servicio
Descripción del Proceso
Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y
completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
Fecha Última Actualización 16/Nov/2016
Elaborado por Analista de Sistemas
Revisado por Jefe de TI
Metas de TI Métrica Valor Máximo Esperado
Valor Real
Indicador Efectividad (%)
Fecha
04 Riesgos de negocio
relacionados con las TI
gestionados
Porcentaje de procesos de negocio críticos, servicios TI y programas de negocio habilitados por las TI cubiertos por evaluaciones de riesgos
100 10 10 16/Nov2016
Número de incidentes significativos relacionados con las TI que no fueron identificados en la evaluación de riesgos
10 2 (por mes) 20 16/Nov2016
Porcentaje de evaluaciones de riesgo de la empresa que incluyen los riesgos relacionados con TI
100 0 0 16/Nov2016
Frecuencia de actualización del perfil de riesgo 100 0 0 16/Nov2016
07 Entrega de servicios
de TI de acuerdo a los
requisitos del negocio
Número de interrupciones del negocio debidas a incidentes en el servicio de TI
10 3 (por mes) 30 16/Nov2016
Porcentaje de partes interesadas satisfechas con el cumplimiento del servicio de TI entregado respecto a los niveles de servicio acordados
100 70 70 16/Nov2016
Porcentaje de usuarios satisfechos con la calidad de los servicios de TI entregados
100 60 60 16/Nov2016
Formulario Caso de Uso N° 10 : Evaluación del Proceso (Métricas relacionada a las metas de TI) para el Proceso DSS02
162 Ing. Julio César Becerra Lino
7.2.2.1 MÉTRICAS RELACIONADAS A LAS METAS DEL PROCESO
FORMULARIO NRO. 6: Evaluación del Proceso (Métricas relacionada a las metas del proceso)
Código Proceso DSS02
Nombre del Proceso
Gestionar las peticiones y los incidentes del servicio
Descripción del Proceso
Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y
completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
Fecha Última Actualización 16/Nov/2016
Elaborado por Analista de Sistemas
Revisado por Jefe de TI
Metas de Proceso Métrica Valor Máximo Esperado
Valor Real
Indicador Efectividad (%)
Fecha
1. Los servicios
relacionados con TI
están disponibles para
ser utilizados.
Número y porcentaje de incidentes que causan interrupción en los procesos críticos de negocio
2
(por mes)
16/Nov2016
Tiempo promedio entre incidentes de acuerdo con el servicio facilitado por TI
10 1
(cada 2 semanas)
16/Nov2016
2. Los incidentes son
resueltos según los
niveles de servicio
acordados.
Porcentaje de incidentes resueltos dentro de un periodo acordado/ aceptable
100 60 60 16/Nov2016
3. Las peticiones de servicio son resueltas según los niveles de servicio acordados y la satisfacción del usuario.
Nivel de satisfacción del usuario con la resolución de las peticiones de servicio
100 70 70 16/Nov2016
Tiempo promedio transcurrido para el tratamiento de cada tipo de petición de servicio
15 (min) 16/Nov2016
Formulario Caso de Uso N° 11: Evaluación del Proceso (Métricas relacionada a las metas de Proceso) para el Proceso DSS02
163 Ing. Julio César Becerra Lino
7.2.3 CUMPLIMIENTO DEL PROCESO DSS02
Formulario Caso de Uso N° 12: Cumplimiento del Proceso DSS02
FORMULARIO NRO. 7: Cumplimiento del proceso
Código Proceso DSS02 Nombre del Proceso Gestionar las peticiones y los incidentes del servicio
Fecha Última Actualización 17/Nov/2016
Elaborado por Analista de Sistemas Prácticas de Gobierno y Gestión Definido Documentado Comunicado Implantado Actualizado Monitoreado Próxima Revisión
DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio.
Si_X_ No__
Si_X_ No__
Si_X_ No__
Si_X_ No__
Si__ No_X_
Si__ No_X_
1/Feb/2017
DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes.
Si_X_ No__
Si_X_ No__
Si_X_ No__
Si_X_ No__
Si__ No_X_
Si__ No_X_
1/Feb/2017
DSS02.03 Verificar, aprobar y resolver peticiones de servicio.
Si_X_ No__
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
DSS02.04 Investigar, diagnosticar y localizar incidentes.
Si_X_ No__
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
DSS02.05 Resolver y recuperarse de incidentes.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
DSS02.06 Cerrar peticiones de servicio e incidentes.
Si_X_ No__
Si__ No_X_
Si_X_ No__
Si_X_ No__
Si__ No_X_
Si__ No_X_
1/Feb/2017
DSS02.07 Seguir el estado y emitir informes.
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
Si__ No_X_
1/Feb/2017
Dueño del Proceso Analista -----------------
Responsable Proceso Jefe de TI ------------------------
Controlador Jefe de TI ------------------ Cliente ------------------------
Proveedor ------------------
164 Ing. Julio César Becerra Lino
CAPÍTULO VIII: EVALUACIÓN DE RESULTADOS
Para la realización de una aplicación práctica del manual, la Jefatura de TI
recomendó dos procesos que se mencionan a continuación:
BAI01-Gestionar los Programas y Proyectos
DSS02- Gestionar las Peticiones y los Incidentes del Servicio
Durante la aplicación del manual se han creado los formularios indicados por el
manual de forma independiente para cada proceso, cumpliéndose con las fases
de: Definición, evaluación y cumplimiento que sugiere el manual.
Se ha podido evidenciar que siguiendo las 3 fases del manual, se ha
conseguido: Definir el proceso, documentarlo y evaluarlo para así poder
determinar el estado actual y el grado de cumplimiento en el que se encuentra,
y así poder analizar, diseñar, desarrollar e implementar las medidas necesarias
para mejorarlo e incrementar su nivel de madurez.
Otro punto que hay que recalcar es que como el manual implementa COBIT 5
dentro de sus formularios, asegura el control de los procesos de TI, que es uno
de los requisitos necesarios para ofrecer criterios de información.
En los inicios del proyecto, había un alto grado de predisposición a ayudar de
parte de todos los integrantes del departamento de TI, luego durante la
aplicación del manual, fue notoria una resistencia al mismo, a los usuarios del
manual se los observaba como preocupados por estar plasmando sus
conocimientos y habilidades en formatos de diagramas dibujados sobre un
papel.
165 Ing. Julio César Becerra Lino
La aplicación práctica es una actividad válida que nos permite verificar las
ventajas y desventajas de manual, es así que durante la aplicación del mismo
se pudo observar lo siguiente:
En el Formulario Nro. 4 de inventario de actividades, se pudo notar que
para cada actividad, el listado de entradas y salidas genera redundancia
de documentación y estas mismas entradas y salidas se ven claramente
documentadas en el diagrama de flujo, es por eso que no se lo ha
terminado de llenar en el “Formulario Caso de Uso N° 3: Inventario de
Actividades del Proceso BAI01”, en consecuencia se ha definido realizar
una modificación y actualización al Formulario Nro. 4 en el cual se van a
listar las entradas y salidas de cada actividad o proceso que se describa
en el diagrama de flujo, este formulario está en el Anexo Nro. 5 de este
documento y se encuentra debidamente ajustado y corregido con la
observación realizada. Este nuevo formulario va a acompañar al
formulario del diagrama de flujo como parte de la documentación
En el Formulario Nro. 7 que trata sobre el cumplimiento del proceso, se
pudo evidenciar que no es muy útil responder solo con un “SI” o un “NO”
a los parámetros de evaluación (Definido, Documentado, Comunicado,
Implantado, Actualizado y Monitoreado) que se aplican a las prácticas de
gestión y gobierno, sino que es necesario asignar un valor porcentual de
cumplimiento y además detallar los instrumentos que justifican el
cumplimiento o el no cumplimiento de los objetivos de cada “práctica de
gestión y gobierno” respecto al parámetro de evaluación, por esta razón
se plantea que se detallen las: Tareas, actividades, documentos u otras
observaciones que implementan los mismos, El Anexo Nro. 6, muestra el
nuevo formato del Formulario Nro. 7 con todas las correcciones
realizadas respecto a las observaciones dadas.
166 Ing. Julio César Becerra Lino
Con solo dos procesos realizados durante la aplicación del manual, ya hubieron
observaciones y sugerencias de mejoras para el mismo, esto es importante ya
que la retroalimentación siempre tiene que existir y el manual tiene que ser
actualizado en todo momento que se lo requiera, siempre y cuando haya un
análisis previo de las observaciones, para así poder validarlas e implementarlas
oportunamente, sin salirse del marco de trabajo que nos propone COBIT, en
consecuencia, hechas las correcciones y nuevas sugerencias, ya se cuenta con
la 2da. versión del manual.
167 Ing. Julio César Becerra Lino
CAPÍTULO IX: CONCLUSIONES Y RECOMENDACIONES
9.1 CONCLUSIONES
A través de la aplicación de las prácticas de cascada de metas propuesta
por COBIT 5, se logró la identificación y priorización de las: Metas
corporativas, metas de TI y procesos del departamento de TI, con el fin de
alinearlos a los objetivos del negocio.
Con la evaluación del grado de madurez de los procesos del departamento
de TI, se pudo determinar que la mayoría de sus procesos son intuitivos y
carecen de una correcta definición, documentación, evaluación y control
sobre el cumplimiento de sus objetivos, así también se pudo concluir que el
nivel de madurez del departamento de TI es el “1 Proceso ejecutado” que
significa que la mayoría de los procesos implementados en TI se ejecutan y
alcanzan su propósito, sin embargo estos no están: Definidos,
documentados y administrados.
El diseño del manual de mejora ha definido como principal objetivo, elevar el
grado de madurez de los procesos, para lo cual se consideró evolucionar
desde el estado intuitivo, pasando por el estado definido hasta llegar a un
nivel administrado y medido, lo que fue obtenido con la definición de
requerimientos de mejora de procesos. Entonces al contar con estas 3 fases
de diseño: Definición y documentación, evaluación y cumplimiento, se
asegura las guías necesarias para que los procesos puedan superar de
forma incremental el nivel de definición y alcanzar el nivel de procesos
administrados y medidos.
Dentro del modelo de madurez de COBIT, el nivel 5 de “Proceso
Optimizado”, corresponde a la implantación de las mejores prácticas de la
industria, pero el objetivo del manual del presente trabajo, solo se propone
llevar hasta el nivel 4 de “Proceso Predecible”, porque para alcanzar el nivel
5 se requiere disponer de otros recursos que actualmente el departamento
de TI no ha considerado dentro de sus planes y presupuestos. Sin embargo
con la aplicación del manual se dio el paso inicial para lograr una mejora
168 Ing. Julio César Becerra Lino
gradual de procesos y así posteriormente en un futuro llegar a un Nivel 5 de
procesos optimizados, así también se pudo evaluar y mejorar el manual.
9.2 RECOMENDACIONES
El departamento de TI debe disponer del tiempo suficiente para: Definir,
documentar, evaluar y optimizar sus procesos y de esta manera lograr un
incremento del nivel de madurez de los mismos.
Con la aplicación del marco de referencia de COBIT para la evaluación de
los procesos de TI, se ha podido evidenciar la necesidad de contar con una
definición y administración clara de prácticas y políticas de monitoreo de los
procesos de TI. Aunque la provisión de servicios y la ejecución de procesos
es satisfactoria dentro de la organización, no existen medidas cuantitativas
de los grados de eficacia y eficiencia de los procesos que permitan a la
gerencia de TI detectar posibles desviaciones de una manera proactiva y de
esta manera ofrecer una retroalimentación al negocio.
Fomentar la capacitación, aprendizaje y conocimiento en el personal de TI,
sobre las metodologías, marcos de trabajo, normas y estándares
internacionales que beneficien la gestión de TI, de manera oportuna y
eficiente, para trabajar en la implementación de procesos de gestión de TI,
apuntalando la consecución de objetivos de TI y así lograr los objetivos del
negocio.
Es importante hacer una gestión sobre los recursos humanos, debido a que
se puede optimizar sus actividades mediante documentación de
procedimientos y evaluación de procesos, con esto se obtendrían métricas
que permitan tomar las mejores decisiones en beneficio de la compañía y
alcanzando la excelencia operativa.
Asegurar la colaboración entre el negocio y las TI, logrando que TI
evoluciones de un área de apoyo a un área estratégica para la empresa.
169 Ing. Julio César Becerra Lino
BIBLIOGRAFIAS
COBIT5, (2012). Un Marco de Negocio para el Gobierno y la Gestión de
la Empresa, ISACA, Estados Unidos (COBIT5-Framework-Spanish.pdf).
COBIT5. (2012). Procesos Catalizadores, ISACA, Estados Unidos
(COBIT5-Enabling-Spanish.pdf).
COBIT5. (2012). Implementación, ISACA, Estados Unidos (COBIT5-
Implementation-Spanish.pdf)
ISACA. (2012). Traducción al Español Cortesía de ISACA Capítulo de Panamá. http://www.academia.edu/6676824/COBIT5_Introduction_Spanish
ISACA, COBIT IT Governance Institute, Disponible en:
http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish
ISACA, COBIT Executive Summary, 3ra. Edición, Rolling Meadows,
ISACA, COBIT Control Objetives, 3ra. Edición, Rolling Meadows,
ISACA, COBIT Framework, 3ra. Edición, Rolling Meadows,
ISACA, COBIT Management Guidelines, 3ra. Edición, Rolling Meadows,
NIST (National Institute of Standards and Technology – U.S. Department
of Commerce). “Generally Accepted Principles and Practices for Securing
Information Technology Systems”. Marianne Swanson y Barbara
Guttman, 1996.
www.isaca.org
170 Ing. Julio César Becerra Lino
GLOSARIO DE TÉRMINOS Atributo (de capacidad) de un proceso:
ISO/IEC 15504: Una característica medible de una capacidad de proceso
aplicable a cualquier proceso.
Calidad:
Una actividad o proceso probado que se ha puesto en práctica con éxito por
múltiples empresas y se ha demostrado que produce resultados fiables.
Catálogo de servicios:
Factores externos e internos que inician y afectan cómo la empresa o el
individuo actúan o cambian.
Brecha:
Es la diferencia mínima, parcial o significativa de una actividad evaluada al
cumplir con varios requisitos de la mencionada evaluación
Cobit:
Conocido antiguamente como Objetivos de Control para Información y
Tecnologías Relacionadas (COBIT); usado actualmente solo como un acrónimo
en su quinta revisión. Un marco completo, internacionalmente aceptado, para el
gobierno y la gestión de la información de la empresa y la tecnología de la
información (TI) que soporta a los ejecutivos de la empresa y los gestores en la
definición y consecución de las metas de negocio y las metas de TI
relacionadas.
COBIT describe cinco principios y siete facilitadores que dan soporte a las
empresas en el desarrollo, implementación y mejora continua y supervisión de
buenas prácticas relacionadas con el gobierno y la gestión de TI.
171 Ing. Julio César Becerra Lino
Nota de alcance: Las versiones previas de COBIT se enfocaban en objetivos de
control relacionados con los procesos de TI, gestión y control de los procesos
de TI y aspectos del gobierno de TI. La adopción y el uso del marco COBIT se
ve apoyada por una creciente familia de productos de soporte. (Vea
www.isaca.org/cobit para más información).
Continuidad de negocio:
Evitar, mitigar y recuperarse de una interrupción. Se puede usar en este
contexto también los términos “planificación de la restauración del negocio”,
“planificación para recuperación de desastres” y “planificación de las
contingencias”; se enfocan en los aspectos de la recuperación dentro de la
continuidad.
Control:
Los medios para gestionar el riesgo, incluyendo políticas, procedimientos,
directrices, prácticas o estructuras organizativas, que pueden tener una
naturaleza administrativa, técnica, de gestión, o legal. También usada como
sinónimo de salvaguarda o contramedida
Control de procesos de Negocio:
Las políticas, procedimientos, prácticas y estructuras organizativas diseñadas
para generar garantías razonables de que un proceso de negocios conseguirá
sus objetivos
Cultura:
Un patrón de comportamientos, creencias, hipótesis, actitudes y formas de
hacer las cosas
Estructura organizativa:
Un catalizador del gobierno y de la gestión. Incluye la empresa y sus
estructuras, jerarquías y dependencias.
172 Ing. Julio César Becerra Lino
Gestión:
Incluye el uso juicioso de medios (recursos, personas procesos, prácticas, etc.)
para conseguir un fin identificado. Es un medio o instrumento mediante el cual
el grupo que gobierna consigue un resultado u objetivo. La gestión es
responsable de la ejecución dentro de la dirección establecida por el grupo que
gobierna. La gestión se refiere a las actividades operacionales de planificación,
construcción, organización y control que alinean con la dirección que establece
el grupo que gobierna y la información sobre dichas actividades
Gestión de riesgos:
Uno de los objetivos de gobierno. Requiere reconocer un riesgo; evaluar su
impacto y probabilidad; y desarrollar estrategias, como, por ejemplo, evitar el
riesgo, reduciendo el efecto negativo de riesgo y/o transfiriendo el riesgo, para
gestionarlo en el contexto del apetito de riesgo de una empresa.
Gobierno:
El marco, principios y políticas, estructuras, procesos y prácticas, información,
habilidades, cultura, ética y comportamiento que establecen la dirección y
verifican que cumplimiento y rendimiento de una empresa están alineados con
el propósito general y los objetivos definidos. El gobierno define quién tiene la
responsabilidad última de que las cosas se hagan, la responsabilidad y la
capacidad de decisión (entre otros elementos).
Gobierno de TI empresarial:
Un enfoque de gobierno que garantiza que las tecnologías de información y las
relacionadas soportan y habilitan la estrategia de la empresa y la consecución
de las metas corporativas. También incluye el gobierno funcional de TI, por
ejemplo, garantizando que las capacidades de TI son provistas de forma
eficiente y efectiva
173 Ing. Julio César Becerra Lino
Holístico:
La holística es aquello perteneciente al holismo, una tendencia o corriente que
analiza los eventos desde el punto de vista de las múltiples interacciones que
los caracterizan. El holismo supone que todas las propiedades de un sistema no
pueden ser determinadas o explicadas como la suma de sus componentes. En
otras palabras, el holismo considera que el sistema completo se comporta de un
modo distinto que la suma de sus partes. Es decir el todo es mayor que la suma
de sus partes y enfatiza la importancia del todo, que es más grande que la
suma de las partes.
Información:
Un activo que, como cualquier otro activo importante de negocio, es esencial
para el negocio de una empresa. Puede existir de muchas formas: impreso o
escrito en papel, almacenado electrónicamente, transmitido por correo o de
forma electrónica, mostrado en películas o hablado durante una conversación
Isaca:
Isaca es el acrónimo de Information Systems Audit and Control Association
(Asociación de Auditoría y Control de Sistemas de Información), una asociación
internacional que apoya y patrocina el desarrollo de metodologías y
certificaciones para la realización de actividades auditoría y control en sistemas
de información.
ISO / EC 15504:
El ISO/IEC 15504, también conocido como Software Process Improvement
Capability Determination, abreviado SPICE, en español, «Determinación de la
Capacidad de Mejora del Proceso de Software» es un modelo para la mejora y
evaluación de los procesos de desarrollo y mantenimiento de sistemas de
información y productos de software.
174 Ing. Julio César Becerra Lino
Métrica:
Una entidad cuantificable que permite la medida de la consecución de una meta
de proceso. Las métricas deben ser Específicas, Medibles, Accionables,
Relevantes, Oportunas (SMART).
Objetivo de negocio:
La traducción de la misión de la empresa desde una expresión de intenciones a
unas metas de rendimiento y resultados
Objetivo de proceso:
Una declaración describiendo el resultado deseado de un proceso. Un resultado
puede ser un elemento, un cambio significativo de estado o una mejora de
capacidad significativa de otro proceso.
Objetivo de TI:
Una declaración describiendo el resultado deseado de las TI empresariales
como soporte a los objetivos de la empresa. Un resultado puede ser un
elemento, un cambio significativo de estado o una mejora de capacidades
significativa.
Optimización de recursos:
Uno de los objetivos del gobierno. Incluye un uso efectivo, eficiente y
responsable de todos los recursos--humanos, financieros, equipamiento,
inmuebles, etc.
Política:
Intención y dirección global según se expresa formalmente por los gestores.
175 Ing. Julio César Becerra Lino
Proceso:
Generalmente, una colección de prácticas influenciadas por las políticas y
procedimientos de la empresa que toma entradas de una serie de fuentes
(incluyendo otros procesos), manipula esas entradas y genera salidas (por
ejemplo, productos, servicios)
Propietario:
Individuo o grupo que sustenta o posee los derechos de y las responsabilidades
para una empresa, entidad o activo, por ejemplo, un propietario de negocio, un
propietario de un sistema
Recurso:
Cualquier activo de la empresa que puede ayudar a la organización a conseguir
sus objetivos.
Riesgo:
La combinación de la probabilidad de un evento y sus consecuencias.
Servicio TI:
La provisión diaria a clientes de la infraestructura y de las aplicaciones TI y del
soporte para su uso. Los ejemplos incluyen el centro de servicios, la provisión
de equipamiento y los movimientos, y las autorizaciones de seguridad
Sistema de control interno:
Las políticas, estándares, planes y procedimientos y las estructuras
organizativas diseñadas para proveer una garantía razonable de que los
objetivos de la empresa van a conseguirse y de que los eventos no deseados
serán evitados o detectados y subsanados
176 Ing. Julio César Becerra Lino
TI:
Tecnología de información abarca toda la infraestructura tecnológica para crear,
guardar, usar e intercambiar información, aplicando las ciencias de la
computación, las telecomunicaciones y la técnica para el procesamiento de
información
177 Ing. Julio César Becerra Lino
ANEXOS
178 Ing. Julio César Becerra Lino
Anexo Nro. 1
Mapa Mental de la Situación Problemática
Situación Problemática:
Elevado índice de insatisfacción de los usuarios por los servicios que brinda el
departamento de TI de la empresa agroindustrial GRANOS.
Posibles Causas:
- Existe mucha demora en la atención a una solicitud de soporte por parte
de los usuarios.
- Cuando un departamento solicita la compra de algún equipo de
computación, este demora mucho en llegar.
- Existe mucha improvisación en la solución a los problemas que surgen
repentinamente en el día a día.
- No existe documentación de los procesos y procedimientos que
actualmente se aplican dentro del departamento de TI.
- Existe saturación de trabajo en las personas que trabajan en el
departamento de TI.
- No existen procedimientos para el registro de requerimientos de los
usuarios, en consecuencia estos no se documentan.
- No existe procedimientos para la solicitud de equipos de computación.
- No se lleva un buen control ni existe registro de las atenciones de
soporte a los usuarios.
- Los nuevos requerimientos y nuevos proyectos demoran mucho en ser
entregados.
- Los proyectos no son bien dimensionados lo que lleva a un mayor tiempo
de desarrollo.
Consecuencias:
- Uso no apropiado de los recursos de TI
- Excesiva inversión en recursos tecnológicos
- Pérdida del control de los procesos principales del negocio.
179 Ing. Julio César Becerra Lino
- Excesivo gasto innecesario de recursos humanos del departamento de TI
- Usuarios insatisfechos
- Resistencia de los usuarios a utilizar los servicios que brinda el
departamento TI.
- Despido de personal del departamento de TI
Oportunidades:
- Existe la información y se tiene la autorización necesaria para tener
acceso a la información del objeto de estudio en la empresa GRANOS.
Factor Principal
- Falta de control y procedimientos de medición de la calidad de los
servicios que brinda el departamento de TI.
Situación Deseada:
Bajo índice de insatisfacción de los usuarios por los servicios que brinda el
departamento de TI de la empresa agroindustrial GRANOS
180 Ing. Julio César Becerra Lino
Anexo Nro. 2
Formulario de Encuesta Nro. 1
FECHA DE LA ENCUESTA
HOJA
DE
01 OCT 2016 1 1
Nombre de la Encuesta Metas de negocios de Granos vs Metas corporativas de COBIT 5
Evaluador: Julio César Becerra
Personal Evaluado Jefe de Comercialización, Jefe de Exportación, Jefe de Control de Calidad, Jefe de Finanzas y Jefe de Producción
Departamento o Área Comercialización, Exportación, Control de Calidad, Finanzas y Producción
METAS CORPORATIVAS COBIT 5
Valo
r para
las p
art
es inte
resadas d
e la
s in
vers
iones d
e
Negocio
. C
art
era
de p
roducto
s y
serv
icio
s c
om
petitivos.
Rie
sgos d
e n
egocio
s g
estio
nados (
salv
aguard
a los a
ctivos)
Cum
plim
iento
de leyes y
regula
cio
nes e
xte
rnas
Tra
nspare
ncia
fin
ancie
ra.
Cultura
de s
erv
icio
orie
nta
da a
l clie
nte
.
Contin
uid
ad y
dis
ponib
ilidad d
el serv
icio
de n
egocio
.
Respuesta
s á
gile
s a
un e
nto
rno d
e n
egocio
cam
bia
nte
.
To
ma e
str
até
gic
a d
e d
ecis
iones b
asada e
n info
rma
ció
n.
Optim
izació
n d
e c
osto
s d
e e
ntr
ega d
e s
erv
icio
s.
Optim
izació
n d
e la
funcio
nalid
ad d
e lo
s p
rocesos d
e n
egocio
.
Optim
izació
n d
e lo
s c
osto
s d
e los p
rocesos d
e n
egocio
.
Pro
gra
ma
s g
estio
nados d
e c
am
bio
en e
l negocio
Pro
ductivid
ad o
pera
cio
nal y d
e lo
s e
mp
leados
Cum
plim
iento
con las p
olíticas inte
rnas.
Pers
onas p
repara
das y
mo
tivadas.
Cultura
de in
novació
n d
el pro
ducto
y d
el negocio
.
ID
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
ID
Metas del Negocio: Objetivos
Empresariales de Granos
FINANCIERAS
CLIENTE
INTERNA
A&C
OBJ01 Incrementar las utilidades de la empresa
OBJ02 Lograr objetivos de ventas
OBJ03 Cumplir, o cuando sea, posible, rebasar
las exigencias del cliente
OBJ04 Promover la eficiencia a través de
procesos adecuados
OBJ05 Capacitar al personal para trabajar con la
eficiencia y calidad
OBJ06 Incrementar la participación del mercado
local e internacional
PUNTUACIÓN
181 Ing. Julio César Becerra Lino
Anexo Nro. 3
Formulario de Encuesta Nro. 2
FECHA DE LA ENCUESTA
HOJA
DE
01 OCT 2016 1 1
Nombre de la Encuesta Metas de corporativas COBIT 5 vs Metas de TI COBIT 5
Evaluador: Julio César Becerra
Personal Evaluado Todo el personal de sistemas
Departamento o Área Departamento de Sistemas
METAS DE TI PROPUESTAS POR COBIT 5
Alin
ea
mie
nto
de T
I y la
estr
ate
gia
de
ne
go
cio
Cum
plim
ien
to y
so
po
rte
de
la T
I a
l cu
mp
limie
nto
de
l n
eg
ocio
de
la
s le
ye
s y
re
gu
lacio
ne
s
exte
rna
s
Com
pro
mis
o d
e la
dir
ecció
n e
jecu
tiva
para
tom
ar
de
cis
ion
es r
ela
cio
na
da
s c
on
TI
Rie
sg
os d
e n
eg
ocio
re
lacio
na
do
s c
on
la
s T
I ge
stio
na
do
s
Rea
liza
ció
n d
e b
en
eficio
s d
el p
ort
afo
lio d
e In
ve
rsio
ne
s y
Se
rvic
ios r
ela
cio
na
do
s c
on la
s T
I
Tra
nspa
ren
cia
de
lo
s c
oste
s,
be
ne
ficio
s y
rie
sg
os d
e la
s T
I
En
tre
ga
de
se
rvic
ios d
e T
I de
acu
erd
o a
lo
s r
eq
uis
ito
s d
el n
eg
ocio
Uso a
de
cu
ado
de
ap
lica
cio
ne
s,
info
rma
ció
n y
so
lucio
ne
s t
ecno
lóg
icas
Ag
ilida
d d
e la
s T
I
Se
gu
rida
d d
e la
in
form
ació
n, in
fra
estr
uctu
ra d
e p
roce
sam
ien
to y
ap
lica
cio
ne
s
Op
tim
izació
n d
e a
ctivo
s, re
cu
rso
s y
ca
pa
cid
ad
es d
e la
s T
I
Cap
acita
ció
n y
sop
ort
e d
e p
roce
so
s d
e n
eg
ocio
inte
gra
nd
o a
plic
acio
ne
s y
tecn
olo
gía
en
pro
ce
so
s d
e n
eg
ocio
En
tre
ga
de
Pro
gra
ma
s q
ue
pro
po
rcio
ne
n b
ene
ficio
s a
tie
mpo
, d
en
tro
de
l p
resup
ue
sto
y
sa
tisfa
cie
nd
o lo
s r
eq
uis
ito
s y
no
rma
s d
e c
alid
ad
.
Dis
po
nib
ilid
ad
de
in
form
ació
n ú
til y r
ele
va
nte
pa
ra la
to
ma
de
de
cis
ion
es
Cum
plim
ien
to d
e la
s p
olítica
s in
tern
as p
or
part
e d
e la
s T
I
Pe
rso
na
l d
el ne
go
cio
y d
e la
s T
I co
mp
ete
nte
y m
otiva
do
Con
ocim
ien
to, e
xp
eri
en
cia
e in
icia
tiva
s p
ara
la
in
no
va
ció
n d
e n
ego
cio
ID 1
2
3
4
5
6
7
8
9
1 0
1 1
1 2
1 3
1 4
1 5
1 6
1 7
ID Metas Corporativas FINANCIERAS CLI. INTERNA A&C
1 Valor para las partes interesadas de las
inversiones de Negocio.
2 Cartera de productos y servicios
competitivos.
7 Continuidad y disponibilidad del servicio de
negocio.
8 Respuestas ágiles a un entorno de negocio
cambiante
9 Toma estratégica de decisiones basada en
información.
12 Optimización de los costos de los procesos
de negocio
14 Productividad operacional y de los
empleados
16 Personas preparadas y motivadas.
17 Cultura de innovación del producto y del
negocio.
PUNTUACIÓN
182 Ing. Julio César Becerra Lino
Anexo Nro. 4
Formulario de Encuesta Nro. 3
FECHA DE LA ENCUESTA
HOJA
DE
01 OCT 2016 1 1
Nombre de la Encuesta
Evaluador: Julio César Becerra
Personal Evaluado Todo el personal de sistemas
Departamento o Área Departamento de Sistemas
Empresa: Granos
Metas de TI Relevantes
Alin
ea
mie
nto
de
TI
y la
estr
ate
gia
de n
ego
cio
Com
pro
mis
o d
e la
dir
ecció
n e
jecutiva
para
to
ma
r d
ecis
ione
s
rela
cio
nad
as c
on T
I
Entr
ega
de
se
rvic
ios d
e T
I d
e a
cu
erd
o a
los r
equis
itos d
el ne
gocio
Uso a
decua
do d
e a
plic
acio
ne
s, in
form
ació
n y
solu
cio
nes t
ecnoló
gic
as
Agili
da
d d
e las T
I
Optim
izació
n d
e a
ctivos,
recurs
os y
ca
pacid
ad
es d
e las T
I
Entr
ega
de
Pro
gra
mas q
ue
pro
porc
ion
en b
en
eficio
s a
tie
mp
o,
den
tro
del pre
sup
uesto
y s
atisfa
cie
ndo los r
eq
uis
itos y
norm
as d
e c
alid
ad.
Dis
po
nib
ilid
ad d
e info
rmació
n ú
til y r
ele
vante
para
la
to
ma d
e
decis
ione
s
Pers
onal del ne
gocio
y d
e las T
I co
mpe
tente
y m
otiva
do
Cono
cim
iento
, exp
erie
ncia
e inic
iativas p
ara
la
inn
ova
ció
n d
e n
eg
ocio
Sector 1 3 7 8 9 11 13 14 16 17
ID
Procesos
Financiera
Cliente
Interna
A&C
Tot.
Evalu
ar,
Ori
en
tar
y
Su
pe
rvis
ar
EDM01 Asegurar el establecimiento y mantenimiento del Marco de Gobierno
EDM02 Asegurar la Entrega de Beneficios
EDM03 Asegurar la Optimización de Riesgos
EDM04 Asegurar la Optimización de los Recursos
EDM05 Asegurar la transparencia hacia las partes Interesadas
Ali
ne
ar,
Pla
nif
icar
y
Org
an
izar
APO01 Gestionar el Marco de Gestión de TI
APO02 Gestionar la Estrategia
APO03 Gestionar la Arquitectura Empresarial
APO04 Gestionar la Innovación
APO05 Gestionar el Portafolio
APO06 Gestionar el Presupuesto y los costos
183 Ing. Julio César Becerra Lino
APO07 Gestionar los Recursos Humanos
APO08 Gestionar las Relaciones
APO09 Gestionar los acuerdos de Servicio
APO10 Gestionar los Proveedores
APO11 Gestionar la Calidad
APO12 Gestionar el Riesgo
APO13 Gestionar la Seguridad
Co
ns
tru
ir, A
dq
uir
ir e
Im
ple
men
tar
BAI01 Gestionar los Programas y Proyectos
BAI02 Gestionar la Definición de Requisitos
BAI03 Gestionar la Identificación y la Construcción de Soluciones
BAI04 Gestionar la Disponibilidad y la Capacidad
BAI05 Gestionar la Introducción de cambios Organizativos
BAI06 Gestionar los Cambios BAI07 Gestionar la Aceptación del
Cambio y de la Transición
BAI08 Gestionar el Conocimiento BAI09 Gestionar los Activos BAI10 Gestionar la Configuración
En
treg
ar,
da
r S
erv
icio
y S
op
ort
e
DSS01 Gestionar las Operaciones DSS02 Gestionar las Peticiones y los
Incidentes del Servicio
DSS03 Gestionar Los Problemas DSS04 Gestionar la Continuidad DSS05 Gestionar los Servicios de
Seguridad
DSS06 Gestionar los controles de los procesos del Negocio
Su
pe
rvis
ar,
Evalu
ar
y V
alo
rar MEA01 Supervisar, Evaluar y Valorar
Rendimiento y Conformidad
MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno
MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos
184 Ing. Julio César Becerra Lino
Anexo Nro. 5
FORMULARIO NRO. 4: Inventario de Actividades
Fecha: [1] Código [2] Dominio [3] Nombre del Proceso
[4]
Nombre de la Actividad o Proceso del Diagrama de Flujo
Responsable Entradas Salidas
[5] [6] [7] [8]
185 Ing. Julio César Becerra Lino
Anexo Nro. 6
FORMULARIO NRO. 7: Cumplimiento del proceso Código Proceso Nombre del Proceso Fecha Última Actualización
Elaborado por
Definido Documentado Comunicado Implantado Actualizado Monitoreado Prácticas de Gobierno y
Gestión % Obs. % Obs. % Obs. % Obs. % Obs. % Obs. Fecha Próxima
Revisión
Dueño del Proceso Analista de Sistemas ----------------- Responsable Proceso Jefe de TI ------------------------ Controlador Jefe de TI ----------------- Cliente ------------------------ Proveedor -----------------
186 Ing. Julio César Becerra Lino