universidad autÓnoma “gabriel renÉ moreno” · del departamento de ti de la empresa granos...

UNIVERSIDAD AUTÓNOMA “GABRIEL RENÉ MORENO”

FACULTAD DE INGENIERÍA EN CIENCIAS DE LA

COMPUTACIÓN Y TELECOMUNICACIONES

“UAGRM SCHOOL OF ENGINEERING”

MAESTRÍA EN AUDITORÍA Y SEGURIDAD INFORMÁTICA

“DISEÑO DE UN MANUAL DE BUENAS PRÁCTICAS PARA LA MEJORA DE PROCESOS DE TECNOLOGÍA DE INFORMACIÓN

DEL DEPARTAMENTO DE TI DE LA EMPRESA GRANOS UTILIZANDO EL MARCO REFERENCIAL PROPUESTO POR

COBIT 5.0”

TRABAJO FINAL DE GRADO BAJO LA MODALIDAD DE TESIS PARA OPTAR AL TÍTULO DE MAESTRO EN CIENCIAS

AUTOR:

Ing. Julio César Becerra Lino

DIRECTOR DE TRABAJO FINAL DE GRADO: M.Sc. Ing. Miguel Peinado Pereira

SANTA CRUZ – BOLIVIA

SEPTIEMBRE - 2017

AGRADECIMIENTO

A Dios, por darme las fuerzas para seguir adelante, a mi

tutor, el Ing. Miguel Peinado, por su apoyo, consejos y

colaboración para que se haga realidad este trabajo y

especialmente a mi familia por todo su amor y apoyo

incondicional.

DEDICATORIA

Este trabajo que es producto de un gran esfuerzo de varios

meses, se lo dedico a mi querida Familia, a mi esposa

Tesoro y a mis hijos: Ariane, Julito e Ian.

RESUMEN

Este proyecto tiene como principal objetivo el diseño de un manual de mejora

de procesos de Tecnologías de Información (TI) para la empresa agroindustrial

Granos, a través de la aplicación del Marco de referencia COBIT en su versión

5.0; que es una guía de mejores prácticas avalada por la Asociación de Control

y Auditoría de Sistemas de Información (ISACA), esta es una asociación

internacional que apoya y patrocina el desarrollo de metodologías y

certificaciones para la realización de actividades de auditoría y control en

sistemas de información.

El proyecto empieza con la realización de la Cascada de Metas de COBIT 5,

que es un mecanismo para traducir las necesidades u objetivos de las partes

interesadas (empresa Granos) en metas corporativas y metas de TI practicables

y personalizables. Una vez identificadas y priorizadas las metas corporativas del

negocio y las metas de TI propuestas por COBIT 5, se procede a determinar y

priorizar los 37 procesos propuestos por COBIT respecto a las metas de TI

anteriormente priorizadas, para luego así poder obtener los procesos relevantes

y priorizados del departamento de TI. Seguidamente se inicia la evaluación del

grado de madurez de los procesos relevantes del departamento de TI, pero en

esta oportunidad se hizo la evaluación del grado de madurez a los 37 procesos

en su totalidad, para así tener una evaluación mucho más amplia de los

procesos del departamento de TI.

Con estos resultados se definen los requerimientos de mejora para proceder

con el diseño del manual, y así crear las guías y procedimientos que permitan:

Definir, administrar y monitorear cada proceso, con la finalidad de incrementar

la madurez de los mismos.

Finalmente se realiza una aplicación práctica del manual a través del rediseño

de dos procesos de TI relevantes. El proyecto ha demostrado que un manual

para la mejora de procesos de TI basado en COBIT, es una herramienta

poderosa para garantizar una gestión y administración efectiva de las

tecnologías de Información en la agroindustria.

TABLA DE CONTENIDO

INTRODUCCIÓN ........................................................................................................................... 1

CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA ..................................................................... 3

1.1 FORMULACIÓN DEL PROBLEMA ............................................................................... 5

1.2 OBJETIVOS ................................................................................................................... 6

1.2.1 OBJETIVO GENERAL .................................................................................................. 6

1.2.2 OBJETIVOS ESPECÍFICOS ......................................................................................... 6

1.3 JUSTIFICACIÓN ............................................................................................................ 7

CAPÍTULO II: MARCO TEÓRICO ................................................................................................. 9

2.1 ESTUDIO DEL MARCO DE REFERENCIA COBIT 5.0 ...................................................... 9

2.1.1 INTRODUCCIÓN .......................................................................................................... 9

2.1.2 GENERALIDADES ...................................................................................................... 10

2.1.3 PRINCIPIOS COBIT ................................................................................................... 11

2.1.4 METAS DE COBIT 5 ................................................................................................... 15

2.1.5 HISTORIA DE COBIT ................................................................................................. 25

2.1.2 DOMINIOS DE COBIT 5 ............................................................................................. 26

2.1.2.1 EVALUAR, ORIENTAR y SUPERVISAR (EDM) ................................................. 28

2.1.2.2 ALINEAR, PLANIFICAR y ORGANIZAR (APO) .................................................. 29

2.1.2.3 CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI) ............................................ 29

2.1.2.4 ENTREGA, SERVICIO Y SOPORTE (DSS)........................................................ 30

2.1.2.5 SUPERVISAR, EVALUAR Y VALORAR (MEA) ................................................. 30

2.1.3 MODELO DE CAPACIDAD DE LOS PROCESOS DE COBIT 5 ................................ 30

2.1.4 EVALUACIONES DE CAPACIDAD DE PROCESOS EN COBIT .............................. 33

2.1.4.1 REGLA CLAVE .................................................................................................... 34

2.1.4.2 MAPEO DETALLADO DE LAS METAS RELACIONADAS CON LAS TI Y LOS

PROCESOS RELACIONADOS CON LAS TI .................................................................. 34

CAPÍTULO III: MARCO METODOLÓGICO ................................................................................. 36

3.1 TIPIFICACIÓN DE LA INVESTIGACIÓN ........................................................................... 36

3.2 HIPÓTESIS DEL TRABAJO .............................................................................................. 36

3.3 MÉTODOS, TÉCNICAS E INSTRUMENTOS DE INVESTIGACIÓN ................................ 37

CAPÍTULO IV: ESTADO ACTUAL DEL DEPARTAMENTO DE TI ............................................. 39

4.1 DESCRIPCIÓN DE LA ORGANIZACIÓN .................................................................... 39

4.1.1 ANTECEDENTES Y ACTIVIDADES .................................................................... 39

4.1.2 VISIÓN ................................................................................................................. 40

4.1.3 MISIÓN ................................................................................................................. 40

4.1.4 POLÍTICAS DE LA EMPRESA ............................................................................ 41

4.1.5 ESTRUCTURA ORGANIZACIONAL ................................................................... 42

4.1.6 PRINCIPALES PROCESOS DEL NEGOCIO ...................................................... 43

4.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI ................................................. 46

4.2.1 PRINCIPIOS, POLÍTICAS Y MARCOS DE REFERENCIA ................................. 46

4.2.2 ESTRUCTURA ORGANIZATIVA ......................................................................... 47

4.2.3 PERSONAS, HABILIDADES Y COMPETENCIAS .............................................. 49

4.2.4 PROCESOS ......................................................................................................... 50

4.2.4.1 PROCESOS DE LA JEFATURA DE TI ........................................................ 50

4.2.4.2 PROCESOS DE LOS SERVICIOS DE RED Y TELECOMUNICACIONES 51

4.2.4.3 PROCESOS DE SERVICIOS DE DESARROLLO Y SOPORTE A

APLICACIONES ............................................................................................................... 53

4.2.4.4 PROCESOS DE SERVICIOS DE SOPORTE HELP DESK ........................ 54

4.2.5 PRINCIPALES PROCEDIMIENTOS DE TI ......................................................... 56

4.2.6 CULTURA, ÉTICA Y COMPORTAMIENTO ........................................................ 57

4.2.7 INFORMACIÓN .................................................................................................... 57

4.2.8 SERVICIOS, INFRAESTRUCTURA Y APLICACIONES ..................................... 58

4.2.8.1 SERVICIOS POR DEMANDA ...................................................................... 58

4.2.8.2 ENTREGA DE SERVICIOS ESTÁNDARES ................................................ 59

CAPÍTULO V: CASCADA DE METAS Y GRADO DE MADUREZ DEL DEPARTAMENTO DE TI

..................................................................................................................................................... 60

5.1 METODOLOGÍA DE EVALUACIÓN .................................................................................. 60

5.1.1 OBSERVACIÒN .......................................................................................................... 60

5.1.2 ENCUESTAS .............................................................................................................. 61

5.1.3 ENTREVISTAS ........................................................................................................... 61

5.1.4 IDENTIFICACIÓN DE LA MUESTRA ......................................................................... 62

5.1.5 MÉTODO SELECCIONADO ....................................................................................... 63

5.1.6 DEFINICIÓN DE VARIABLES .................................................................................... 64

5.1.7 CATEGORIZACIÓN DEL GRADO DE MADUREZ COMO VARIABLE ..................... 65

5.2 CASCADA DE METAS ...................................................................................................... 66

5.2.1 CONOCER LOS OBJETIVOS DE LA EMPRESA ...................................................... 67

5.2.2 PRIORIZAR METAS DEL NEGOCIO ......................................................................... 68

5.2.3 PRIORIZAR METAS DE TI ......................................................................................... 72

5.2.4 PRIORIZAR LOS PROCESOS DEL NEGOCIO PROPUESTO POR COBIT ............ 76

5.2.5 CONCLUSIONES Y RECOMENDACIONES DEL ANÁLISIS DE CASCADA DE

METAS. ................................................................................................................................ 80

5.3 EVALUACIÓN DEL GRADO DE MADUREZ DE PROCESOS DE TI ............................... 81

5.3.1 DEFINICIÓN DE INDICADORES DE ÉXITO PARA LOS DOMINIOS DE COBIT 5.081

5.3.2 DETERMINACIÓN DE LOS NIVELES DE MADUREZ PARA CADA PROCESO

DE LOS DOMINIOS DE COBIT 5.0 ..................................................................................... 82

5.3.3 DETERMINACIÓN DE BRECHAS PARA CADA ACTIVIDAD DE LOS PROCESOS

DE COBIT 5.0 ...................................................................................................................... 83

5.4.3 DETERMINACIÓN DE NIVELES DE MADUREZ Y BRECHAS EXISTENTES EN

EL DEPARTAMENTO DE TI ................................................................................................ 85

5.4.3.1 GOBIERNO: EVALUAR, ORIENTAR Y SUPERVISAR................................... 85

5.4.3.2 DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR ....................................... 87

5.4.3.3 DOMINIO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR ................................ 94

5.4.3.4 DOMINIO: ENTREGAR, DAR SERVICIO Y SOPORTE ............................... 100

5.4.3.5 DOMINIO: SUPERVISAR, EVALUAR Y VALORAR ..................................... 104

5.4.4 RESULTADOS OBTENIDOS DEL ANÁLISIS DEL NIVEL DE MADUREZ EN EL

DEPARTAMENTO DE TI ................................................................................................... 106

5.4.5 CONCLUSIONES Y RECOMENDACIONES SOBRE LOS RESULTADOS

OBTENIDOS DEL ANÁLISIS DEL NIVEL DE MADUREZ EN EL DEPARTAMENTO DE TI

........................................................................................................................................... 110

CAPÍTULO VI: DISEÑO DEL MANUAL DE MEJORA DE PROCESOS ................................... 111

6.1 DEFINICIÓN DE REQUERIMIENTOS DE MEJORA DE PROCESOS CON COBIT 111

6.1.1 IDENTIFICACIÓN Y DOCUMENTACIÓN ......................................................... 112

6.1.2 EVALUACIÓN Y CUMPLIMIENTO .................................................................... 114

6.2 DISEÑO DEL MANUAL ............................................................................................. 115

6.2.1 ESTRUCTURA DEL MANUAL ........................................................................... 115

6.2.2 DEFINICIÓN DEL PROCESO ........................................................................... 116

6.2.2.1 DEFINICIÓN ................................................................................................... 120

6.2.2.2 DIAGRAMA DE FLUJO .................................................................................. 124

6.2.2.3 INVENTARIO DE ACTIVIDADES .................................................................. 126

6.2.3 EVALUACIÓN DEL PROCESO ......................................................................... 128

6.2.3.1 MÉTRICAS RELACIONADAS A LAS METAS DE TI ........................................ 131

6.2.3.2 MÉTRICAS RELACIONADAS A LAS METAS DEL PROCESO ....................... 133

6.2.4 CUMPLIMIENTO DEL PROCESO ..................................................................... 135

CAPITULO VII: APLICACIÓN PRÁCTICA DEL MANUAL PARA PROCESOS RELEVANTES EN

EL DEPARTAMENTO DE TI DE LA ORGANIZACIÓN ............................................................. 141

7.1 PROCESO: BAI01-GESTIONAR LOS PROGRAMAS Y PROYECTOS ......................... 142

7.1.1 DEFINICIÓN DEL PROCESO BAI01 ....................................................................... 142

7.1.1.1 DEFINICIÓN ...................................................................................................... 142

7.1.1.2 DIAGRAMA DE FLUJO...................................................................................... 143

7.1.1.3 INVENTARIO DE ACTIVIDADES ...................................................................... 144

7.1.2 EVALUACIÓN DEL PROCESO BAI01 ..................................................................... 150



7.1.3 CUMPLIMIENTO DEL PROCESO BAI01 ................................................................. 154

7.2 PROCESO: DSS02- GESTIONAR LAS PETICIONES Y LOS INCIDENTES DEL

SERVICIO .............................................................................................................................. 156

7.2.1 DEFINICIÓN DEL PROCESO DSS02 ...................................................................... 156

7.2.1.1 DEFINICIÓN ...................................................................................................... 156

7.2.1.2 DIAGRAMA DE FLUJO...................................................................................... 157

7.2.1.3 INVENTARIO DE ACTIVIDADES ...................................................................... 158

7.2.2 EVALUACIÓN DEL PROCESO DSS02 ................................................................... 161



7.2.3 CUMPLIMIENTO DEL PROCESO DSS02 ............................................................... 163

CAPÍTULO VIII: EVALUACIÓN DE RESULTADOS .................................................................. 164

CAPÍTULO IX: CONCLUSIONES Y RECOMENDACIONES .................................................... 167

9.1 CONCLUSIONES ...................................................................................................... 167

9.2 RECOMENDACIONES .............................................................................................. 168

BIBLIOGRAFIAS ........................................................................................................................ 169

GLOSARIO DE TÉRMINOS ...................................................................................................... 170

ANEXOS .................................................................................................................................... 177

ÍNDICE DE FIGURAS

Figura N° 1: Principios de Cobit 5.0 ...................................................................................... 11

Figura N° 2: El Objetivo de Gobierno: Creación de Valor ................................................. 12

Figura N° 3: Catalizadores Corporativos Cobit 5 ................................................................ 14

Figura N° 4: Metas Corporativas de Cobit 5 ........................................................................ 16

Figura N° 5: Métricas de Metas Corporativas ...................................................................... 19

Figura N° 6: Metas relacionadas con las TI ......................................................................... 20

Figura N° 7: Métricas de Metas TI ......................................................................................... 23

Figura N° 8: Mapeo entre las Metas Corporativas y Relacionadas con TI ..................... 24

Figura N° 9: Evolución de Cobit ............................................................................................. 25

Figura N° 10: Las Áreas Clave de Gobierno y Gestión de Cobit 5 .................................. 27

Figura N° 11: Modelo de Referencia de Procesos de Cobit 5 .......................................... 28

Figura N° 12: Atributos Genéricos de Capacidad de Procesos ........................................ 31

Figura N° 13: Mapeo entre las metas relacionadas con las TI de Cobit 5 y los procesos

..................................................................................................................................................... 35

Figura N° 14: Organigrama de la empresa GRANOS ........................................................ 42

Figura N° 15: Flujograma de producción de la planta industrial ....................................... 43

Figura N° 16: Ubicación del departamento de TI en la organización .............................. 47

Figura N° 17: Esquema organizacional del departamento de TI ...................................... 48



Figura N° 20: Estructura del Manual ................................................................................... 116

ÍNDICE DE CUADROS

Cuadro N° 1: Procesos de producción ................................................................................. 45

Cuadro N° 2: Personal del departamento de TI .................................................................. 49

Cuadro N° 3: Procedimientos relevantes del departamento de TI ................................... 56

Cuadro N° 4: Objetivos empresariales de Granos .............................................................. 67

Cuadro N° 5: Metas corporativas .......................................................................................... 67

Cuadro N° 6: Metas de negocios de Granos vs Metas corporativas de COBIT 5 ......... 71

Cuadro N° 7: Metas de negocios, Objetivos Empresariales Granos ............................... 72

Cuadro N° 8: Metas corporativas COBIT 5 vs Metas de TI COBIT 5 .............................. 74

Cuadro N° 9: Metas de TI Relevantes .................................................................................. 75

Cuadro N° 10: Priorización de procesos acorde a las metas de TI relevantes .............. 78

Cuadro N° 11: Procesos priorizados acorde a las metas de TI relevantes .................... 79

Cuadro N° 12: Criterios de evaluación y determinación de brechas ............................... 84

Cuadro N° 13: Resultado del nivel de madurez ................................................................ 107

Cuadro N° 14: Resultado de la evaluación de los 37 Procesos de COBIT .................. 107

Cuadro N° 15: Procedimientos relevante del Departamento de TI vs. El Nivel de

madurez de los procesos analizados ................................................................................... 109

Cuadro N° 16: Instructivo de llenado del Formulario Nro. 1 ............................................ 120


Cuadro N° 18: Simbología del diagrama de flujo .............................................................. 124






ÍNDICE DE FORMULARIOS DE PROCEDIMIENTOS

Formulario de Procedimiento N° 1: Definición del Proceso ......................................... 118

Formulario de Procedimiento N° 2: Diagrama de Flujo de la Definición del Proceso

................................................................................................................................................... 119

Formulario de Procedimiento N° 3: Evaluación del Proceso ....................................... 129

Formulario de Procedimiento N° 4: Diagrama de Flujo de la Evaluación del Proceso

................................................................................................................................................... 130

Formulario de Procedimiento N° 5: Cumplimiento del Proceso .................................. 136

Formulario de Procedimiento N° 6: Diagrama de Flujo del Cumplimiento del Proceso

................................................................................................................................................... 137

ÍNDICE DE FORMULARIOS

Formulario N° 1: Solicitud de Mejora de Proceso ............................................................ 120

Formulario N° 2: Definición de procesos ........................................................................... 121

Formulario N° 3: Diagrama de Flujo ................................................................................... 125

Formulario N° 4: Inventario de Actividades ....................................................................... 126

Formulario N° 5: Evaluación de Proceso (Métricas relacionada a la metas de TI) .... 131

Formulario N° 6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso)

................................................................................................................................................... 133

Formulario N° 7: Cumplimiento del proceso ..................................................................... 138

ÍNDICE DE FORMULARIOS DE CASO DE USO

Formulario Caso de Uso N° 1: Definición del Proceso BAI01 ...................................... 142

Formulario Caso de Uso N° 2: Diagrama de Flujo del Proceso BAI01 ....................... 143

Formulario Caso de Uso N° 3: Inventario de Actividades del Proceso BAI01 ........... 149

Formulario Caso de Uso N° 4: Evaluación del Proceso (Métricas relacionada a las

metas de TI) para el Proceso BAI01 .................................................................................... 151


metas de Proceso) para el Proceso BAI01 ......................................................................... 153

Formulario Caso de Uso N° 6: Cumplimiento del BAI01 ............................................... 155

Formulario Caso de Uso N° 7: Definición del Proceso DSS02 ..................................... 156

Formulario Caso de Uso N° 8: Diagrama de flujo del Proceso DSS02 ....................... 157

Formulario Caso de Uso N° 9: Inventario de Actividades del Proceso DSS02 .......... 160

Formulario Caso de Uso N° 10 : Evaluación del Proceso (Métricas relacionada a las

metas de TI) para el Proceso DSS02 .................................................................................. 161


metas de Proceso) para el Proceso DSS02 ....................................................................... 162

Formulario Caso de Uso N° 12: Cumplimiento del Proceso DSS02............................ 163

1 Ing. Julio César Becerra Lino

INTRODUCCIÓN

En la actualidad los procesos de Tecnologías de Información (TI) se han

convertido en un factor muy importante y estratégico para que las

organizaciones puedan alcanzar sus logros y objetivos propuestos, por este

motivo el objetivo de este proyecto es el diseño de un manual de buenas

prácticas para la mejora de los procesos de tecnología de información (TI) de

una empresa agroindustrial, utilizando una guía de mejores prácticas conocida

como COBIT en su versión 5.0, la cual es un conjunto de normas, técnicas y

buenas prácticas para poder hacer una verificación y validación de los recursos

de TI con que cuenta una organización y así poder dar una seguridad razonable

de que los controles existentes están cumpliendo a cabalidad y así mismo,

contribuir al logro de la misión y visión de la empresa.

COBIT, es un marco referencial creado por ISACA (Asociación de Control y

Auditoría de Sistemas de Información), el cual está compuesto por cinco

dominios, uno de Gobierno y 4 de Gestión (“Evaluar, Orientar y Supervisar”,

“Alinear, Planificar y Organizar”, “Construir, Adquirir e Implementar”, “Entregar,

dar Servicio y Soporte” y “Supervisar, Evaluar y Valorar”), que explican cómo

los procesos de TI entregan la información para que el negocio pueda alcanzar

sus objetivos. Esta entrega es controlada por 37 procesos agrupados en cinco

dominios.

Inicialmente se busca identificar los actuales servicios del departamento de TI,

su estructura organizacional, las funcionalidades, procesos y procedimientos

existentes, para luego identificar y priorizar las metas corporativas del negocio,

las metas de TI y procesos relevantes de TI, esto se logra aplicando la Cascada

de Metas propuesta por COBIT 5.0, seguidamente se busca evaluar

cuantitativamente el estado actual en el que se encuentra los grados de

madurez de los procesos más relevantes del departamento de TI de la empresa

agroindustrial, en base a los parámetros de medición propuestos por COBIT

5.0.


Luego se procederá a diseñar el manual de buenas prácticas para mejorar los

procesos de TI, siempre enmarcado en las referencias de COBIT 5.0, para

incrementar el grado de madurez de los procesos relevantes y de esta manera

estos puedan ser: Definidos, administrados y medidos.

Como resultado se obtienen un conjunto de documentos, los cuales servirán de

apoyo para mejorar y gestionar cada proceso de TI.

Finalmente se va a aplicar este manual a algunos procesos para así poder

demostrar su aplicabilidad, evidenciando que en base a una buena definición,

evaluación y cumplimiento, se pueden obtener procesos capaces de ser

administrados, medidos y monitoreados de forma eficiente.

El presente trabajo permitió evidenciar que un manual para la mejora de

procesos del departamento de TI basado en el marco de trabajo de COBIT, es

una herramienta muy importante para la reingeniería de procesos de TI, que

aporta de manera significativa a que la Jefatura de TI tenga control sobre las

actividades, y recursos de las tecnologías de la información (TI) y de esta

manera ofrecer servicios de alta calidad que apoye en forma estratégica a los

objetivos del negocio y defina las bases necesarias para implantar en un futuro

las mejores prácticas.


CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA

La empresa de servicios agroindustriales “GRANOS” es una de las principales

empresas productoras de Torta de soya y Aceites comestibles, dentro de la

línea de productos que maneja se encuentran:

- Elaboración de aceites y grasas vegetales sin refinar y subproductos.

- Elaboración de aceites y grasas vegetales refinadas y subproductos.

- Preparación de tortas y producción de harinas.

- Preparación y molienda de otros cereales.

La política de calidad de la empresa establece como principales directrices, a la

mejora continua de los procesos, el cumplimiento de los requisitos y la

búsqueda de la satisfacción del cliente.

La empresa cuenta con un departamento de Tecnologías de la Información (TI),

el cual es el responsable de brindar, mantener y asegurar los servicios de

comunicaciones y tecnología de información de manera eficiente para poder

contribuir a los objetivos de la organización.

Actualmente el departamento de TI cuenta con 5 personas.

A pesar de que un alto porcentaje de los procesos del departamento de TI se

los realiza de forma ordenada, muchos de estos se los lleva a cabo de manera

intuitiva e improvisada. Existe un alto grado de insatisfacción de parte de los

clientes (usuarios de los servicios del departamento de TI), porque el

departamento de TI tiene muchos inconvenientes en la entrega de los servicios

que presta, demora mucho tiempo en brindar una solución a un problema o

simplemente estos resultan muy costosos para la organización, así mismo en

contraposición, los proyectos que son terminados a tiempo, un gran porcentaje

no llegan a satisfacer completamente las necesidades de los usuarios, ya que

estos no están bien dimensionados, lo que lleva a tomar mucho tiempo en su


desarrollo e implementación. La adquisición y compra de equipos toma más

tiempo de lo esperado y los integrantes del departamento de TI se encuentran

saturados de trabajo lo que hace casi imposible poder dar un soporte y servicio

de calidad a los usuarios, peor aún hacer seguimiento o ejecutar nuevos

proyectos.

La empresa tiene centros de acopio en diferentes comunidades rurales donde

también se cuenta con equipos de computación y usuarios, aunque estos

centros funcionan 2 veces al año por un periodo entre 4 y 5 meses de igual

manera los usuarios se encuentran muy insatisfechos ya que el soporte y la

ayuda demora mucho tiempo en llegar.

Existen aplicaciones de proveedores externos y sobre estas hay descontento

generalizado de parte de los usuarios ya que cuando ocurre un problema o

necesitan de alguna nueva funcionalidad, esto demora mucho, lo cual repercute

directamente en el trabajo diario. Actualmente tampoco es posible medir los

niveles de efectividad, eficiencia de los procesos y servicios que brinda el

departamento de TI.

Estos efectos posiblemente se deben a que no existe una definición formal de

los procesos y procedimientos, no existe documentación de las actividades que

conlleva cada uno de estos procesos y procedimientos lo cual hace imposible

hacer seguimiento y medir el grado de eficiencia, eficacia y madurez de los

mismos.

Si no se hace un cambio y se mejoran estos procesos y procedimientos el nivel

y grado de descontento por parte de los usuarios podría aumentar y para

subsanar esto se necesitaría incrementar mayor personal para que se dedique

al soporte y al desarrollo e implementación de nuevos proyectos, lo cual

incrementaría exponencialmente los costos del departamento de TI.

En consecuencia, el departamento de TI necesita un mayor control en los

procesos que están inmersos en los cinco dominios que plantea como

referencia COBIT en su versión 5.0.


Para identificar cuáles de los procesos y procedimientos están causando algún

grado de insatisfacción por parte de los usuarios, es necesario medirlos de

forma efectiva y así verificar que estos están cumpliendo o incumpliendo su

función.

Con un manual de buenas prácticas para mejorar los niveles de madurez de los

procesos del departamento de TI, se buscará definir las actividades necesarias

para mejorar los procesos con el objetivo de brindar un servicio de calidad y

optimizar la inversión en los recursos de TI.

1.1 FORMULACIÓN DEL PROBLEMA

¿Cómo se puede mejorar los procesos de Tecnología de Información del

departamento de TI de la empresa GRANOS, para incrementar los niveles de

madurez de los mismos y mejorar los niveles de calidad de los servicios que

brinda?


1.2 OBJETIVOS

1.2.1 OBJETIVO GENERAL

Diseñar un manual de buenas prácticas que defina los lineamientos y

actividades necesarias para mejorar los niveles de madurez de los procesos

de Tecnología de Información del departamento de TI de la empresa

GRANOS, utilizando como referencia el marco referencial de COBIT 5.

1.2.2 OBJETIVOS ESPECÍFICOS

- Identificar y priorizar la metas corporativas del negocio y las metas

del departamento de TI de la empresa Granos, para así identificar

y priorizar los procesos relevantes del departamento de TI

relacionados a las metas de TI priorizadas.

- Realizar una evaluación del grado de madurez de los procesos del

departamento de TI de la empresa Granos, determinando e

identificando el estado actual de los mismos, relacionados con el

marco referencial de COBIT 5 en sus 5 dominios: “Evaluar,

Orientar y Supervisar”, “Alinear, Planificar y Organizar”, “Construir,

Adquirir e Implementar”, “Entregar, dar Servicio y Soporte” y

“Supervisar, Evaluar y Valorar”

- Diseñar un manual que defina los lineamientos, actividades y

buenas prácticas a seguir para mejorar los procesos de TI,

siempre enmarcado en las referencia de COBIT 5, para

incrementar el grado de madurez de los procesos y así estos

puedan ser definidos, administrados y medidos.

- Realizar una aplicación práctica del manual a través del rediseño

de dos procesos relevantes del departamento de TI.


1.3 JUSTIFICACIÓN

Actualmente existen muchos procesos críticos del negocio que están

estrechamente relacionados con los servicios que brinda el departamento de TI

dentro de una organización, así mismo los servicios que brinda el departamento

de TI están compuestos de procesos previos que se tienen que ejecutar para

que estos servicios puedan estar disponibles para los usuarios y otros procesos

que así lo requieran.

Un alto porcentaje de los procesos de Tecnología de Información del

departamento de TI, no se maneja de forma adecuada, esto causa un bajo nivel

de calidad y conformidad en los servicios que son ofertados, esto puede influir

directamente en el mal manejo de los recursos (datos, sistemas de aplicación,

tecnología, instalaciones y el personal) e incidir directamente en la elevación de

los costos dentro de la organización (existe un mapa mental en el Anexo Nro. 1

de este documento, donde se expone más detalladamente la situación

problemática de la organización).

Para realizar una medición cuantitativa del funcionamiento, cumplimiento y

efectividad de los procesos y el impacto que estos tienen en los recursos que

son aplicados, es necesario utilizar una guía que permita cuantificar cuan

efectiva y eficiente es la ejecución de los mismos.

En este proyecto se estudiará COBIT en su versión 5 como el Marco de

Referencia que permite gestionar los procesos de TI dentro de sus cinco

dominios: “Evaluar, Orientar y Supervisar”, “Alinear, Planificar y Organizar”,

“Construir, Adquirir e Implementar”, “Entregar, dar Servicio y Soporte” y

“Supervisar, Evaluar y Valorar”

COBIT permite cuantificar el grado de madurez de los procesos y ofrece

parámetros adecuados de evaluación de los mismos, además relaciona los

procesos de TI con los objetivos de la organización, relaciona también los

procesos de TI con los recursos de TI (datos, sistemas de aplicaciones,

tecnología, instalaciones y personal).


El objetivo de este trabajo es elaborar un manual de buenas prácticas que sirva

de guía para que puedan definirse formalmente los procesos y la

documentación necesaria donde se detallen las actividades que realizan y estos

puedan ser medidos para cuantificar el grado de madurez y cumplimiento de los

mismos.

A través del mejoramiento de los procesos y el aumento de la calidad de los

servicios que brinda el departamento de TI, se pretende minimizar la

insatisfacción de los usuarios y optimizar el uso de los recursos de TI.

En la medida que las empresas del rubro agroindustrial conozcan experiencias

positivas, las metodologías y procesos existentes en diferentes proyectos y sus

resultados, se genera una mayor apertura y disposición hacia nuevas técnicas,

ideas y tendencias del conocimiento sobre el mejoramiento, evaluación y

monitoreo de los procesos del negocio.

Entonces, para incentivar la incorporación de un manual de mejora de procesos

de tecnologías de información en las diferentes empresas agroindustriales de

nuestro medio, hay que dar a conocer las experiencias exitosas del uso y

aplicación de estas buenas prácticas. De este modo es posible generar

atención respecto del tema y así demostrar las oportunidades y beneficios que

las metodologías y buenas prácticas posibilitan.


CAPÍTULO II: MARCO TEÓRICO

Cuando hablamos de procesos dentro de una organización, tratamos de

identificar cuáles son las actividades que se realizan a diario y que tienen mayor

importancia en el éxito del negocio. Los procesos dentro de una empresa

pueden clasificarse en: Operativos y de apoyo.

Los procesos operativos son aquellos compuestos por actividades operativas

que influyen directamente en el cliente y que son particulares de cada empresa.

Por otro lado, los procesos de apoyo o de infraestructura, son aquellos que

sustentan a los procesos operativos y que por lo general son similares en todas

las empresas.

Las empresas utilizan sus recursos humanos, financieros, materiales y

tecnológicos con la finalidad de contribuir al logro de los objetivos fijados, los

procesos utilizan estos recursos para obtener algo de valor en beneficio de los

logros y objetivos de la organización. Los procesos de Tecnologías de la

Información son un soporte crítico del negocio, ya que proporcionan la

información necesaria para que fluya el negocio. Actualmente gran porcentaje

de los procesos se encuentran sin documentar, sin dueños, sin procedimientos

de medición y control, lo cual trae consigo pobres resultados para el negocio.

2.1 ESTUDIO DEL MARCO DE REFERENCIA COBIT 5.0

2.1.1 INTRODUCCIÓN

Las empresas y organizaciones actualmente dependen cada vez más de la

información y por consecuencia de Tecnologías de Información (TI), dicha

información en la totalidad de los casos representan los activos más

importantes a considerar dependiendo del tipo de negocio.


Es por eso que COBIT 5 brinda un marco de trabajo integro que ayuda a las

organizaciones a lograr sus objetivos basados en la gestión de Gobierno y de

las TI corporativas, creando valores óptimos desde TI, generando beneficios y

optimizando el riesgo y uso de recursos. Adicionalmente COBIT 5 permite una

gestión completa de las TI involucrando a la organización por completo, es decir

permitiendo la interacción de todas las unidades funcionales y considerando sus

intereses relacionados con TI

2.1.2 GENERALIDADES

COBIT es un producto lanzado con el objetivo de administrar el despliegue de

TI en las organizaciones. Conocido en sus siglas en inglés como “Control

Objetives for Information and related Technology”.

El Marco referencial de COBIT, desarrollado por la organización ISACA define a

COBIT como: Un marco de trabajo que establece los controles que pueden

implementarse en una organización y pueden apoyar a implementar el Gobierno

de TI Empresarial integrando diferentes marcos de trabajo, como ITIL o

estándares ISO. Está basado en un dominio para los procesos de gobierno y

cuatro dominios para los procesos de gestión.

Se enfoca más en el “qué” se necesita para cumplir con los controles de

Gobierno de TI Empresarial.

El marco de referencia COBIT 5 basa su metodología en cinco principios claves

para el gobierno y la gestión de las TI a nivel organizacional.


Figura N° 1: Principios de Cobit 5.01

2.1.3 PRINCIPIOS COBIT

Principio 1. Satisfacer las Necesidades de las Partes Interesadas

El marco de referencia COBIT 5 provee todos los procesos y actividades

necesarios para permitir la creación de valor del negocio mediante el uso de TI

y apoyado de herramientas propias del marco de referencia, permitiendo la

consecución de beneficios y reduciendo el riesgo y uso de recursos.

Adicionalmente COBIT 5 permite traducir las metas del negocio a metas

relacionadas con TI, estableciendo actividades y prácticas específicas para

cada uno de los procesos.

1 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 2-Principios de Cobit 5 © 2012 ISACA®


Figura N° 2: El Objetivo de Gobierno: Creación de Valor2

Principio 2: Cubrir la Empresa Extremo-a-Extremo

COBIT 5 permite cubrir la empresa de extremo a extremo, cubriendo todos los

procesos de la empresa, incluyendo todas las áreas funcionales, de TI, personal

interno y externo, todo lo que sea relevante para el gobierno y la gestión de las

TI relacionadas.

La función de TI es considerada como un activo más de la empresa no se

enfoca solo en la función que realiza.

Principio 3: Aplicar un Marco de Referencia único integrado

El marco de referencia Cobit 5.0 aplica un marco de referencia único integrando

estándares, marcos de trabajo y buenas prácticas relacionadas con TI y con la

finalidad de ser un marco principal para el gobierno y gestión de las TI de la

empresa.

2 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 3-El Objetivo de Gobierno: Creación de Valor © 2012

ISACA®


Principio 4: Hacer Posible un Enfoque Holístico

El marco de referencia COBIT 5 define distintas herramientas para apoyar la

implementación de un sistema de gobierno y gestión para las TI de la empresa,

todo esto basado en principios, políticas, marcos de trabajo, procesos,

estructuras organizativas, cultura, ética, comportamiento, información, servicios,

infraestructuras, aplicaciones, personas, habilidades y competencias.

El marco de referencia COBIT 5 describe siete categorías de catalizadores

• Principios, políticas y marcos de referencia son el vehículo para traducir el

comportamiento deseado en guías prácticas para la gestión del día a día.

• Los procesos describen un conjunto organizado de prácticas y actividades

para alcanzar ciertos objetivos y producir un conjunto de resultados que

soporten las metas generales relacionadas con TI.

• Las estructuras organizativas son las entidades de toma de decisiones

clave en una organización.

• La Cultura, ética y comportamiento de los individuos y de la empresa son

muy a menudo subestimados como factor de éxito en las actividades de

gobierno y gestión.

• La información impregna toda la organización e incluye toda la información

producida y utilizada por la empresa. La información es necesaria para

mantener la organización funcionando y bien gobernada, pero a nivel operativo,

la información es muy a menudo el producto clave de la empresa en sí misma.

• Los servicios, infraestructuras y aplicaciones incluyen la infraestructura,

tecnología y aplicaciones que proporcionan a la empresa, servicios y

tecnologías de procesamiento de la información.

• Las personas, habilidades y competencias están relacionadas con las

personas y son necesarias para poder completar de manera satisfactoria todas

las actividades y para la correcta toma de decisiones y de acciones correctivas.


Figura N° 3: Catalizadores Corporativos Cobit 53

Principio 5: Separar el Gobierno de la Gestión

El marco de referencia COBIT 5 divide claramente al gobierno y la gestión, ya

que cada uno de estos conceptos involucra diferentes estructuras y propósitos

organizacionales diferentes

Gobierno

“El Gobierno asegura que se evalúan las necesidades, condiciones y opciones

de las partes interesadas para determinar que se alcanzan las metas

corporativas equilibradas y acordadas; estableciendo la dirección a través de la

priorización y la toma de decisiones; y midiendo el rendimiento y el

cumplimiento respecto a la dirección y metas acordadas”4

3 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 12-Catalizadores Corporativos Cobit 5 © 2012

ISACA® 4 Fuente: COBIT® 5 Framework-Spanish.pdf, Principios de Cobit 5 © 2012 ISACA®


Gestión

“La gestión planifica, construye, ejecuta y controla actividades alineadas con la

dirección establecida por el cuerpo de gobierno para alcanzar las metas

empresariales”5

2.1.4 METAS DE COBIT 5

COBIT 5 a través de la definición de metas permite traducir las necesidades de

las partes interesadas de cada empresa en metas corporativas y relacionadas

con metas de TI específicas para el tipo de negocio, industria, cultura que tiene

una determinada empresa.

Esta definición de metas se aplica y abarca a todas las áreas de la empresa en

apoyo de los objetivos generales y requisitos de las partes interesadas.

Las Metas Corporativas de Negocio COBIT 5 define 17 objetivos genéricos o

metas corporativas de negocio enfocados en cuatro áreas principales como

son: Financiera, cliente, interna, aprendizaje y crecimiento.

5 Fuente: COBIT® 5 Framework-Spanish.pdf, Principios de Cobit 5 © 2012 ISACA®


Metas Corporativas de Negocio

COBIT 5 define 17 objetivos genéricos o metas corporativas de negocio

enfocados en cuatro áreas principales como son: Financiera, cliente, interna,

aprendizaje y crecimiento.

Figura N° 4: Metas Corporativas de Cobit 56

6 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 5-Metas Corporativas de Cobit 5 © 2012 ISACA®


Metas Corporativas a Metas Relacionadas con las TI

COBIT 5 define 17 metas relacionadas con las TI, y cada una de estas son

mapeadas con las metas corporativas de negocio usando los siguientes

términos: ‘P’ que significa principal, una importante relación, es decir, las metas

relacionadas con TI que son fundamentales para conseguir los objetivos de la

empresa. ‘S’ que significa secundario, cuando las metas relacionadas con TI

son un soporte secundario para los objetivos de la empresa.

Métricas de Metas Corporativas

Figura 6—Muestra de Métricas de Metas Corporativas

Dimensión CMI

Meta Corporativa Métrica

Financiera

1. Valor para las partes interesadas de las Inversiones de Negocio

• Porcentaje de inversiones en las que la entrega cumple con las expectativas de los interesados • Porcentaje de productos y servicios en los que se realizan los beneficios esperados • Porcentaje de inversiones en los que se cumplen o superan los

beneficios establecidos

2. Cartera de productos y servicios competitivos

• Porcentaje de productos y servicios que alcanzan o exceden los objetivos de ingresos y/o cuota de mercado • Relación de productos y servicios por fase del ciclo de vida • Porcentaje de productos y servicios que alcanzan o exceden los objetivos de satisfacción al cliente • Porcentaje de productos y servicios que proporcionan ventaja

competitiva

3. Riesgos de negocio gestionados (salvaguarda de activos)

• Porcentaje de objetivos de negocio críticos y servicios cubiertos por gestión del riesgo • Relación de incidentes significativos que no fueron identificados en las evaluaciones de riesgo respecto al número total de incidentes • Frecuencia de actualización del perfil de riesgos

4. Cumplimiento de leyes y regulaciones externas

• Coste de incumplimientos regulatorios incluyendo acuerdos y sanciones • Número de incumplimientos regulatorios causantes de comentarios públicos o publicidad negativa • Número de incumplimientos regulatorios en relación con acuerdos contractuales con socios de Negocios


5. Transparencia financiera

• Porcentaje de casos de negocio de inversión con costes y beneficios esperados claramente definidos y aprobados • Porcentaje de productos y servicios con costes operativos y beneficios esperados definidos y aprobados • Encuestas de satisfacción a interesados clave en relación con la transparencia, comprensión y precisión de la información financiera corporativa • Porcentaje del coste del servicio que puede ser asignado a usuarios

Cliente 6. Cultura de servicio orientada al cliente

• Número de trastornos del servicio al cliente debidos a incidentes relacionados con el servicio TI (fiabilidad) • Porcentaje de interesados del negocio que se encuentran satisfechos con que la entrega del servicio de cliente cumpla con los niveles acordados • Número de quejas de clientes • Tendencia de los resultados de las encuestas de satisfacción al cliente

7. Continuidad y disponibilidad del servicio de negocio

• Número de interrupciones de servicio al cliente causantes de incidentes significativos • Coste de negocio de los incidentes • Número de horas de procesamiento perdidas debido a interrupciones del servicio no planificadas • Porcentaje de quejas en función de los objetivos de disponibilidad del servicio comprometidos

8. Respuestas ágiles a un entorno de negocio cambiante

• Nivel de satisfacción del Consejo de Administración con la capacidad de respuesta corporativa a nuevos requerimientos • Número de productos y servicios críticos sustentados por procesos de negocio actualizados • Tiempo medio de conversión de objetivos estratégicos corporativos en iniciativas acordadas y aprobadas

9. Toma estratégica de Decisiones basada en Información

• Grado de satisfacción del Consejo de Administración y la alta dirección con la toma de decisiones • Número de incidentes causados por decisiones de negocio incorrectas basadas en información imprecisa • Tiempo requerido para ofrecer información de apoyo que permita decisiones de negocio efectivas

10. Optimización de costes de entrega del servicio

• Frecuencia de las evaluaciones de optimización del coste de entrega del servicio • Tendencia de la evaluación de costes respecto a los resultados del nivel de servicio • Niveles de satisfacción del Consejo de Administración y la alta dirección con el coste de entrega del servicio

Interna 11. Optimización de la funcionalidad de los procesos de negocio

• Frecuencia de las evaluaciones de madurez de la capacidad de los procesos de negocio • Niveles de satisfacción del Consejo de Administración y la alta dirección con las capacidades de los procesos de negocio


12. Optimización de los costes de los procesos de negocio

• Frecuencia de evaluaciones de optimización de costes de los procesos de negocio • Tendencia de la evaluación de costes respecto a los resultados del nivel de servicio • Niveles de satisfacción del Consejo de Administración y la alta dirección con los costes de procesamiento del negocio

13. Programas gestionados de cambio en el negocio

• Número de programas cumplidos en tiempo y en presupuesto • Porcentaje de interesados satisfechos con la ejecución y resultados del programa • Nivel de concienciación de cambios en el negocio inducidos por TI Iniciativas de negocio posibilitadas

14. Productividad operacional y de los empleado

• Número de programas/proyectos en tiempo y presupuesto • Niveles de coste y de personal comparados con los análisis comparativos

15. Cumplimiento con las políticas internas

• Número de incidentes relacionados con el incumplimiento de políticas • Porcentaje de interesados que entienden las políticas • Porcentaje de políticas apoyadas por estándares y prácticas de trabajo efectivos

Aprendizaje y Crecimiento

16. Personas preparadas y motivadas

• Nivel de satisfacción de los interesados con el conocimiento y la cualificación del personal • Porcentaje de personal cuya cualificación es insuficiente para la competencia requerida por su rol • Porcentaje de personal satisfecho

17. Cultura de innovación de producto y negocio

• Nivel de concienciación y comprensión de las oportunidades de innovación del negocio • Satisfacción de los interesados con los niveles de conocimiento e ideas de innovación y productos • Número de iniciativas de productos y servicios aprobadas resultantes de ideas innovadoras

Figura N° 5: Métricas de Metas Corporativas7

7 Fuente: COBIT® 5 Enabling-Spanish.pdf, Figura 5-Metas Corporativas de Cobit 5 © 2012 ISACA®


Metas relacionadas con las TI

Figura N° 6: Metas relacionadas con las TI8

Todas estas definiciones de metas de negocio y de TI permiten en la práctica

definir objetivos y prioridades efectivos para una implementación y

aseguramiento exitoso del gobierno de las TI en la empresa.

8 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 6-Metas relacionadas con las TI © 2012 ISACA®


Métricas de Metas TI

Figura 7—Ejemplos de Métricas de Metas TI

Dimensión CMI

Objetivos de las TI Métrica

Financiera 01 Alineamiento de TI y estrategia de negocio

• Porcentaje de metas estratégicas y requerimientos corporativos apoyados por metas TI estratégicas • Nivel de satisfacción de los interesados con el alcance del portfolio de programas y servicios planificado • Porcentaje de factores de valor TI mapeados a factores de

valor del negocio

02 Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas

• Coste de incumplimientos TI, incluyendo acuerdos y sanciones e impacto en pérdida de reputación • Número de incumplimientos TI reportados al Consejo de Administración o causantes de comentarios o vergüenza públicos • Número de incumplimientos relacionados con proveedores de servicios TI • Cobertura de evaluaciones de cumplimiento

03 Compromiso de la dirección ejecutiva para tomar decisiones relacionadas con TI

• Porcentaje de roles de la dirección ejecutiva con responsabilidad claramente definida en decisiones TI • Número de veces que TI está en la agenda del Consejo de Administración de manera proactiva • Frecuencia de reuniones del comité ejecutivo de estrategia de TI • Tasa de ejecución de decisiones TI ejecutivas

04 Riesgos de negocio relacionados con las TI gestionados

• Porcentaje de procesos TI de negocio críticos, servicios TI y programas de negocio habilitados por TI cubiertos por evaluaciones de riesgo • Número de incidentes TI significativos que no fueron identificados en evaluaciones de riesgos • Porcentaje de evaluaciones de riesgo corporativas que incluyen riesgo TI • Frecuencia de actualización del perfil de riesgo

05 Realización de beneficios del portafolio de Inversiones y Servicios relacionados con las TI

• Porcentaje de inversiones TI donde la obtención del beneficio se supervisa a lo largo de todo el ciclo de vida económico • Porcentaje de servicios TI donde se obtienen los beneficios esperados • Porcentaje de inversiones TI donde se cumplen o exceden los beneficios esperados

06 Transparencia de los costes, beneficios y riesgos de las TI

• Porcentaje de casos de negocio de inversiones TI con costes TI y beneficios esperados claramente definidos y aprobados • Porcentaje de servicios TI con costes operativos y beneficios esperados claramente definidos y aprobados • Encuesta de satisfacción de interesados clave en relación con el nivel de transparencia, comprensión y precisión de información financiera TI

Cliente 07 Entrega de servicios de TI de acuerdo a los requisitos del negocio

• Número de interrupciones de negocio debidas a incidentes de servicios TI • Porcentaje de partes interesadas en el negocio satisfechas de que la entrega de servicios TI cumpla los niveles de servicio acordados • Porcentaje de usuarios satisfechos con la calidad de la entrega de servicios TI


08 Uso adecuado de aplicaciones, información y soluciones tecnológicas

• Porcentaje de propietarios de procesos de negocio satisfechos con el apoyo de productos y servicios TI • Nivel de entendimiento de los usuarios del negocio sobre cómo las soluciones tecnológicas apoyan sus procesos • Nivel de satisfacción de los usuarios de negocio con la formación y los manuales de usuario • Valor presente neto (NPV) mostrando el nivel de satisfacción del negocio con la calidad y utilidad de las soluciones tecnológicas

Interno 09 Agilidad de las TI • Nivel de satisfacción de la alta dirección del negocio con la capacidad de respuesta de TI a nuevos requerimientos • Número de procesos de negocio críticos soportados por infraestructura y aplicaciones actualizadas • Tiempo medio de conversión de objetivos TI estratégicos en una iniciativa acordada y aprobada

10 Seguridad de la información, infraestructuras de procesamiento y aplicaciones

• Número de incidentes de seguridad causantes de pérdidas financieras, interrupción del negocio o vergüenza pública • Número de servicios TI sin requerimientos de seguridad destacables • Tiempo de concesión, cambio y eliminación de privilegios de acceso comparado con los niveles de servicio acordados • Frecuencia de las evaluaciones de seguridad en relación a los últimos estándares y guías

11 Optimización de activos, recursos y capacidades de las TI

• Frecuencia de evaluaciones de la madurez de la capacidad y de la optimización de costes • Tendencia de los resultados de las evaluaciones • Niveles de satisfacción de la alta dirección del negocio y de TI con los costes y capacidades TI

12 Capacitación y soporte de procesos de negocio integrando aplicaciones y tecnología en procesos de negocio

• Número de incidentes del procesamiento de negocio causados por errores de integración de la tecnología • Número de cambios en los procesos de negocio que tienen que ser retrasados o revisados debido a problemas de integración de la tecnología • Número de programas de negocio facilitados por TI retrasados o incurriendo en costes adicionales debido a problemas de integración de la tecnología • Número de aplicaciones o infraestructuras críticas operando aisladamente y no integradas

13 Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad

• Número de programas/proyectos en tiempo y en presupuesto • Porcentaje de interesados satisfechos con la calidad del programa/proyecto • Número de programas que necesitan revisiones significativas debido a defectos de calidad • Coste de mantenimiento de las aplicaciones respecto al coste TI global

14 Disponibilidad de información útil y relevante para la toma de decisiones

• Nivel de satisfacción del usuario del negocio con la calidad y la puntualidad (o disponibilidad) de la información de gestión • Número de incidentes de procesos de negocio causados por la indisponibilidad de la información • Relación y alcance de decisiones de negocio erróneas donde la información errónea o no disponible fue un factor clave


15 Cumplimiento de las políticas internas por parte de las TI

• Número de incidentes relacionados con el incumplimiento de políticas • Porcentaje de interesados que entienden las políticas • Porcentaje de políticas apoyadas por estándares y prácticas de trabajo efectivas • Frecuencia de revisión y actualización de políticas

Aprendizaje y Crecimiento

16 Personal del negocio y de las TI competente y motivado

• Porcentaje de personal cuyas habilidades TI son suficientes para la competencia requerida por sus roles • Porcentaje de personal satisfecho con sus roles en TI • Número de horas de aprendizaje/ formación por miembro del personal

17 Conocimiento, experiencia e iniciativas para la innovación de negocio

• Nivel de concienciación y comprensión de la alta dirección del negocio sobre las posibilidades de innovación TI • Nivel de satisfacción de los interesados con los niveles de experiencia e ideas de innovación de TI • Número de iniciativas aprobadas resultantes de ideas TI innovadoras

Figura N° 7: Métricas de Metas TI9

9 Fuente: COBIT® 5 Enabling-Spanish.pdf, Figura 5-Metas Corporativas de Cobit 5 © 2012 ISACA®


Figura N° 8: Mapeo entre las Metas Corporativas y Relacionadas con TI10

10 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 22-Mapeo entre las Metas Corporativas de Cobit 5 y

las Metas Relacionadas con las TI©2012ISACA®


2.1.5 HISTORIA DE COBIT

El marco de referencia COBIT en sus primeras versiones se definía como un

marco de auditoría y control para auditores de TI. (Años 1996 COBIT 1 y 1998

COBIT 2).

Posteriormente ISACA en las revisiones del año 2000 genera COBIT 3

incluyendo un documento o guía de gestión para la dirección, con un

acercamiento al concepto de Gobierno de TI. Luego aparece la versión 4.0 de

COBIT (año 2005-2007) la cual define un marco general de Gobierno TI y

definiciones como Val IT (valor de las TI) y RISK IT (riesgos).

Finalmente en el mes de Junio del 2012 COBIT 5.0, donde su principal principio

es el de separar el Gobierno de la Gestión.

Figura N° 9: Evolución de Cobit11

11 Fuente: COBIT® 5 Framework from ISACA, at www.isaca.org/cobit


2.1.2 DOMINIOS DE COBIT 5

El marco de referencia COBIT 5 define varios procesos de gobierno y gestión

todos con el objetivo de cubrir las metas tanto de empresas grandes en las que

se maneja un considerable número de procesos o empresas pequeñas que

manejan un número reducido de procesos.

Este modelo proporciona un marco integral para supervisar y medir el

desempeño de TI en las organizaciones integrando buenas prácticas de gestión

y representando todos los procesos que regularmente se encuentran en las

mismas relacionados con las actividades de TI.

Existen dos áreas principales de procesos que divide COBIT 5 detallados a

continuación:

Gobierno: Contiene un dominio con cinco procesos de gobierno, y dentro de

cada uno de ellos se establecen prácticas de evaluación, orientación y

supervisión (EDM).

Gestión: Contiene cuatro dominios e igualmente dentro de cada uno de ellos se

establecen prácticas de planificación, implementación, soporte y evaluación de

las TI.

Alinear, Planificar y Organizar (Align, Plan and Organise, APO)

Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)

Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)

Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)


Figura N° 10: Las Áreas Clave de Gobierno y Gestión de Cobit 512

Las dos áreas principales de procesos que divide COBIT 5 detallados

anteriormente se clasifican en un número de 37 procesos de gobierno y gestión,

los cuales son una guía integra y referencial para evaluar y diagnosticar el

estado actual de cómo se encuentra la gestión de las TI en las empresas. A

continuación se detallan los 37 procesos contenidos en los cinco dominios

principales de COBIT.

12 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 15-Las Áreas Clave de Gobierno y Gestión de

COBIT 5 © 2012 ISACA®


Figura N° 11: Modelo de Referencia de Procesos de Cobit 513

2.1.2.1 EVALUAR, ORIENTAR y SUPERVISAR (EDM)14

01 Asegurar el establecimiento y mantenimiento del marco de referencia de

gobierno.

02 Asegurar la entrega de beneficios.

03 Asegurar la optimización del riesgo.

04 Asegurar la optimización de recursos.

05 Asegurar la transparencia hacia las partes interesadas.

13 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 16-Modelo de Referencia de Procesos de Cobit 5 ©

2012 ISACA® 14 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos

de COBIT 5© 2012 ISACA®


2.1.2.2 ALINEAR, PLANIFICAR y ORGANIZAR (APO)15

01 Gestionar el marco de gestión de TI.

02 Gestionar la estrategia.

03 Gestionar la arquitectura empresarial.

04 Gestionar la innovación.

05 Gestionar el portafolio.

06 Gestionar el presupuesto y los costes.

07 Gestionar los recursos humanos.

08 Gestionar las relaciones.

09 Gestionar los acuerdos de servicio.

10 Gestionar los proveedores.

11 Gestionar la calidad.

12 Gestionar el riesgo.

13 Gestionar la seguridad.

2.1.2.3 CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)16

01 Gestionar programas y proyectos.

02 Gestionar la definición de requisitos.

03 Gestionar la identificación y construcción de soluciones.

04 Gestionar la disponibilidad y la capacidad.

05 Gestionar la introducción del cambio organizativo.

06 Gestionar los cambios.

07 Gestionar la aceptación del cambio y la transición.

08 Gestionar el conocimiento.

09 Gestionar los activos.

10 Gestionar la configuración.

15 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos

de COBIT 5© 2012 ISACA® 16 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos



2.1.2.4 ENTREGA, SERVICIO Y SOPORTE (DSS)17

01 Gestionar operaciones.

02 Gestionar peticiones e incidentes de servicio.

03 Gestionar problemas.

04 Gestionar la continuidad.

05 Gestionar servicios de seguridad.

06 Gestionar controles de procesos de negocio.

2.1.2.5 SUPERVISAR, EVALUAR Y VALORAR (MEA) 18

01 Supervisar, evaluar y valorar el rendimiento y la conformidad.

02 Supervisar, evaluar y valorar el sistema de control interno.

03 Supervisar, evaluar y valorar la conformidad con los requerimientos

externos.

Cada uno de los procesos de gobierno y gestión proporciona una descripción y

declaración del propósito en general del proceso, estos son componentes clave

para la evaluación de capacidad de logros de la empresa.

2.1.3 MODELO DE CAPACIDAD DE LOS PROCESOS DE COBIT 5

En el marco de referencia COBIT 5, el enfoque de evaluación de brechas

existentes, es decir las diferencias mínimas, parciales o significativas de una

actividad para alcanzar un nivel deseado se basa en el modelo de capacidad de

procesos a través de la norma internacionalmente reconocida ISO / IEC 15504

de Ingeniería de Software-Evaluación de procesos. A través de este modelo

permite alcanzar los objetivos generales de evaluación de procesos e identificar

oportunidades de mejora para todos los procesos relacionados con las TI.

17 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos

de COBIT 5© 2012 ISACA® 18 Fuente: COBIT® 5 Enabling-Spanish.pdf Capítulo 5 Contenidos de la Guía de Referencia de Procesos



El modelo de capacidad de los procesos de COBIT 5 se puede resumir en la

siguiente figura detallada a continuación:

Figura N° 12: Atributos Genéricos de Capacidad de Procesos19

Como se puede observar en el cuadro mencionado, existen seis niveles de

capacidad que un proceso puede alcanzar según el cumplimiento de distintas

actividades específicas que el proceso debe tener y cuya definición es la

siguiente:

Nivel 0 Proceso incompleto: El proceso no está implementado o no alcanza

su propósito. A este nivel, hay muy poca o ninguna evidencia de ningún logro

sistemático del propósito del proceso.20

19 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 19-Resumen del Modelo Capacidad de Procesos de

Cobit 5 © 2012 ISACA® 20 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012


Aquí el proceso no existe o lo poco que se hace no cumple con el propósito del

mismo.

Nivel 1 Proceso ejecutado (un atributo): El proceso implementado alcanza su

propósito.21 En este caso, lo que se hace alcanza el propósito del proceso.

Nivel 2 Proceso gestionado (dos atributos): El proceso ejecutado descrito

anteriormente está ya implementado de forma gestionada (planificado,

supervisado y ajustado) y los resultados de su ejecución están establecidos,

controlados y mantenidos apropiadamente.22

Aquí el proceso tiene un plan, un procedimiento pero interno, de una pequeña

área, no difundido ni formalizado.

Nivel 3 Proceso establecido (dos atributos): El proceso gestionado descrito

anteriormente está ahora implementado usando un proceso definido que es

capaz de alcanzar sus resultados de proceso.23

Con toda la información obtenida del nivel 2 se establece una política

formalmente aprobada, difundida, publicada a nivel organizacional.

Nivel 4 Proceso predecible (dos atributos): El proceso establecido descrito

anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus

resultados de proceso.

Se establece métricas, indicadores de desempeño, mediciones de riesgo y

calidad.

ISACA®

21 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012

ISACA® 22 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012

ISACA® 23 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012

ISACA®


Nivel 5 Proceso optimizado (dos atributos): El proceso predecible descrito

anteriormente es mejorado de forma continua para cumplir con las metas

empresariales presentes y futuros.24

2.1.4 EVALUACIONES DE CAPACIDAD DE PROCESOS EN COBIT

Las evaluaciones de capacidad de procesos en COBIT se basan en el estándar

ISO/IEC 15504 y determinan varios grados de rigor. Estás evaluaciones

permiten analizar carencias sobre la gestión de gobierno y la gestión de las TI

de las empresas así como medir y monitorear la capacidad actual de las

distintas áreas tecnológicas a través de la definición de una escala de

porcentajes se puede ubicar el nivel actual que cada uno de los procesos

alcanza con el cumplimiento de sus objetivos. Esta escala consiste en las

siguientes características de clasificación:

N (No alcanzado): Hay muy poca o ninguna evidencia de que se alcanza el

atributo definido en el proceso de evaluación. (0 al 15 por ciento de logro).

P (Parcialmente alcanzado): Hay alguna evidencia de aproximación a, y algún

logro del atributo definido en el proceso evaluado. Algunos aspectos del logro

del atributo pueden ser impredecibles. (15 a 50 por ciento de logro).

L (Ampliamente alcanzado): Hay evidencias de un enfoque sistemático y de un

logro significativo del atributo definido en el proceso evaluado. (50 a 85 por

ciento de logro).

F (Completamente alcanzado): Existe evidencia de un completo y sistemático

enfoque y un logro completo del atributo definido en el proceso evaluado. No

24 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos de COBIT 5© 2012

ISACA®


existen debilidades significativas relacionadas con el atributo en el proceso

evaluado. (85 a 100 por ciento de logro).

2.1.4.1 REGLA CLAVE

Un nivel de capacidad puede alcanzarse sólo cuando:

a) todos sus atributos están al menos Ampliamente alcanzado (Largely

achieved) y

b) cuando todos los atributos del nivel anterior han sido Completamente

alcanzados (Fully achieved).

2.1.4.2 MAPEO DETALLADO DE LAS METAS RELACIONADAS CON LAS

TI Y LOS PROCESOS RELACIONADOS CON LAS TI

Finalmente para dar énfasis y poner foco en los objetivos principales que

generan valor a las empresas, el marco de referencia COBIT a través de un

mapeo detallado relaciona las metas de TI y los procesos relacionados de TI,

con los 37 procesos de COBIT 5, agrupados por dominios. En este mapeo se

muestra dos términos fundamentales:

P indica una relación primaria, cuando hay una relación importante. Es decir el

proceso de COBIT 5 es imprescindible para conseguir las metas relacionadas

con TI.

S indica una relación secundaria, es decir una relación menos fuerte.


Figura N° 13: Mapeo entre las metas relacionadas con las TI de Cobit 5 y los

procesos25

25 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 23-Mapeo entre las Metas Relacionadas con las TI


CAPÍTULO III: MARCO METODOLÓGICO

3.1 TIPIFICACIÓN DE LA INVESTIGACIÓN

La investigación es de tipo no-experimental porque solo se observarán

fenómenos tal como se dan en su contexto natural para después analizarlos sin

manipular deliberadamente las variables. Es de diseño transversal porque solo

se analizarán los procesos de Tecnología de Información del departamento de

TI de la empresa GRANOS. Inicialmente la investigación es descriptiva porque

se va a indagar las incidencias y los valores en que se manifiestan las variables,

pudiéndose convertirse en correlacional cuando se contrasten las variables de

la situación inicial con la situación final.

3.2 HIPÓTESIS DEL TRABAJO

La falta de un manual de buenas prácticas para la mejora de los procesos de

Tecnología de Información del departamento de TI de la empresa GRANOS,

incide en los niveles de efectividad, eficiencia, confidencialidad, integridad,

disponibilidad, cumplimiento y confiabilidad de los servicios que brinda.

3.2.1 VARIABLES

Variable Independiente: Manual de buenas prácticas de mejora de

los procesos de Tecnología de Información.

Variable Dependiente: Niveles de efectividad, eficiencia,

confidencialidad, integridad, disponibilidad, cumplimiento y

confiabilidad de los servicios que brinda.

de Cobit 5 y los Procesos © 2012 ISACA®


3.3 MÉTODOS, TÉCNICAS E INSTRUMENTOS DE INVESTIGACIÓN

A continuación se exponen los pasos a seguir para poder lograr el objetivo

principal de este proyecto:

a) Primeramente se realizará un estudio teórico del Marco Referencial de

COBIT 5 para así poder comprender y entender todos los procesos y el

modelo de madurez.

b) Se realizará un estudio exploratorio para poder evaluar el estado actual

de los procesos. Se aplicará la técnica de la observación para determinar

el diagnóstico de los servicios de TI en la empresa; evidenciando y

revisando la documentación existente (si la hubiera), como la ejecución

actual de los procesos para que estos puedan ser clasificados dentro del

marco referencial de COBIT 5. Con este estudio se podrá identificar a los

procesos actuales del departamento de TI y a las posibles causas que

generan los actuales problemas.

c) Se aplicará un estudio descriptivo para la evaluación de los grados de

madurez de cada uno de los procesos. Para esto se aplicará una serie

reuniones con el personal del departamento de TI, que está involucrado

en la ejecución de estos procesos.

d) Se aplicará el Modelo de Madurez de COBIT 5 a los resultados obtenidos

para determinar el estado actual de los procesos y definir el grado de

madurez de los cinco dominios de COBIT 5.

e) Se utilizarán técnicas de medición para que con los resultados obtenidos

del grado de madurez de los procesos, se pueda generar un modelo que

permita transformar el estado actual de los procesos y así mejorar los

actuales niveles de servicio en los que se encuentra el departamento de

TI.


f) Se aplicará un estudio exploratorio para el diseño del Manual de Buenas

Prácticas de Mejoras de Procesos, para poder definir los requerimientos

de mejora de procesos en base a la evaluación del grado de madurez de

los mismos.

g) Se aplicará el Modelo de Madurez de COBIT 5, para poder obtener: La

identificación y priorización de las metas de gobierno y de TI, la

priorización de los procesos, la métricas de las metas del procesos y la

prácticas de gestión y de gobierno que será el punto clave para la

elaboración del manual.

h) Se realizará un estudio descriptivo para poder definir los pasos

necesarios para el rediseño de un proceso, los documentos que se

deberán generar, los controles que tendrán que ser definidos, y las

aprobaciones que deberán obtenerse.

i) Se realizará una aplicación práctica del manual que permita definir y

plantear las conclusiones y recomendaciones respectivas acerca de la

ejecución del proyecto.


CAPÍTULO IV: ESTADO ACTUAL DEL DEPARTAMENTO DE TI

4.1 DESCRIPCIÓN DE LA ORGANIZACIÓN

4.1.1 ANTECEDENTES Y ACTIVIDADES

La empresa de servicio agroindustrial “GRANOS” es una de las principales

empresas productoras de Torta de soya y Aceites comestibles, iniciando sus

labores el 1 de Marzo de 1991, fecha en que oficialmente fue fundada.

El domicilio de la planta industrial está ubicado en el Km. 8 ½, sobre la carretera

que une la ciudad de Santa Cruz con Cotoca, zona noreste de Guapilo,

perteneciente al municipio de Santa Cruz de la Sierra, provincia Andrés Ibáñez.

“GRANOS” se ha mantenido a través de los años como una empresa líder a

nivel nacional, inicialmente comenzó con la elaboración de productos de

molinería luego se lanza al mercado, con producción de aceite y torta de soya.

Dentro de la línea de productos que maneja se encuentran:

- Elaboración de aceites y grasas vegetales sin refinar y subproductos.

- Elaboración de aceites y grasas vegetales refinadas y subproductos.

- Preparación de tortas y producción de harinas.

- Preparación y molienda de otros cereales.

Desde el inicio de la actividad, la estructura de GRANOS se ha desarrollado

hasta convertirse en una dinámica organización con la única misión de ofrecer a

sus clientes un producto de la mejor calidad a un precio competitivo.

Todo lo anterior es posible gracias a los esfuerzos de profesionales que hoy

concurren en la empresa, quienes con su alta cualificación y motivación dan la

mejor respuesta del mercado en cuanto a calidad de servicio, cumpliendo lo

prometido y cuidando el trato con el cliente.26

26 Fuente: Manual de Calidad de la Empresa Granos, MCG-001


La Dirección de la organización está decidida a realizar los esfuerzos e

inversiones necesarias para mejorar continuamente sus productos y de este

modo colocarse entre las organizaciones más importantes del sector.

4.1.2 VISIÓN

Nuestra visión es ser una empresa agroindustrial líder de mayor mercado en el

rubro con nuevas tecnologías a nivel Nacional e Internacional, ofreciendo una

mejora continua en la calidad de nuestros productos, garantizando y

cumpliendo con las necesidades y expectativas de nuestros clientes,

accionistas y sociedad en general.27

4.1.3 MISIÓN

Nuestra misión es agregar valor para nuestros clientes y accionistas,

administrando y ejecutando los recursos, preservando el medio ambiente en la

transformación de productos agrícolas sostenibles, garantizando la seguridad y

calidad de nuestro producto para su posterior comercialización en el mercado

nacional e internacional.

Respaldar analíticamente las acciones y decisiones de la empresa en su

responsabilidad de controlar la Calidad de Productos e Insumos agroindustrial,

salvaguardar la Sanidad Animal y Vegetal y proteger la Salud Pública.28




4.1.4 POLÍTICAS DE LA EMPRESA

La empresa de servicio agroindustrial “GRANOS” está comprometida a:

La elaboración de productos y servicios de calidad que satisfagan y de ser

posible, superen las expectativas del cliente, proporcionando la capacitación

apropiada a los trabajadores en un entorno de trabajo seguro y de mejora

continua.

Se dedica a la fabricación, comercialización y distribución de harina y aceite de

la más alta calidad para bienes de consumo y que tiene como pilares

fundamentales de nuestra estrategia empresarial, la calidad, la protección al

medio ambiente y la prevención de riesgos laborales asociados a nuestra

actividad.

Busca continuamente satisfacer las necesidades y expectativas de nuestros

clientes tanto internos como externos, así como gestionar la actividad

preventiva, controlar y reducir los residuos, los niveles sonoros y las emisiones

contaminantes a la atmósfera.

La política de Calidad de la empresa establece como principales directrices a la

mejora continua de los procesos, el cumplimiento de los requisitos y la

búsqueda de la satisfacción del cliente.29

Es voluntad de “GRANOS” y establece como objetivos: 30

Incrementar las utilidades de la empresa

Lograr objetivos de ventas

Promover la eficiencia a través de procesos adecuados.

Cumplir, o cuando sea, posible, rebasar las exigencias del cliente.

Capacitar al personal para trabajar con eficiencia y calidad.

Incrementar la participación del mercado local e internacional.

29 Fuente: Manual de Calidad de la Empresa Granos, MCG-001 30 Fuente: Manual de Calidad de la Empresa Granos, MCG-001


4.1.5 ESTRUCTURA ORGANIZACIONAL

Gerente Gereral

Asistente de

Gerencia

Gerencia ComercialTesoreríaControl de Calidad y

Medio AmbienteProducción

Dpto.

AgrícolaLogística

Ventas y

Despacho

Adm. de

VentasCartera

Programa y

Producción

Compra de

Mat. Prima

Ventas

Semillas

Ventas

Aceites

Ventas

Harinas

Limpieza

Almacén Contabilidad Departamento

de TI

Recursos

Humanos

Auxiliar

Almacén

Técnico

Auxiliar

Despacho

Laboratorio

Central

Mant.

Eléctrico

Jefe

Refinería

Jefe de Prep.

Y ExtracciónMant.

Mecánico

Electricistas

Recepción y

Silos

Refinado

Preparación Extracción

Envasado

Tratamiento

Harinas

Generación

Vapor

Mecánicos

Lab. Recepción

de Granos

Ayudante

Mensajero

Aux. Aux. Aux. Mensajero Portería

Desaguadero

Almacenes

Externos

Auditoria

Figura N° 14: Organigrama de la empresa GRANOS31

31 Fuente: Manifiesto Ambiental Industrial Empresa Granos


4.1.6 PRINCIPALES PROCESOS DEL NEGOCIO

Figura N° 15: Flujograma de producción de la planta industrial32

32 Fuente: Plan de Gestión de Residuos Sólidos Empresa Granos


Como las actividades de la Unidad Industrial se concentran principalmente en la

fabricación de aceite de soya y subproductos, se efectúa a continuación una

descripción de las operaciones del proceso, característicos para la molienda de

granos y extracción de aceites, misma que se ilustran de manera general en el

diagrama de flujo anterior de la Figura N°15.

Nro. Proceso Subprocesos

1

PROCESO DESCARGA Y

RECEPCIÓN DE GRANO

- Control de Calidad

- Descarguío

- Prelimpieza

- Secado

2

PREPARACIÓN DE LA SOYA

Y EXTRACCIÓN SOLVENTE

DE ACEITE DE SOYA

- Pre-limpieza

- Quebrado

- Separación de la cascarilla del grano

(descascarado)

- Acondicionado de grano

- Laminado

- Expansión del laminado

- Enfriamiento de la masa expandida

- Extracción de aceite

- Desolventizado de la torta de soya

- Destilación de la miscela

- Molienda y Embolsado

3 PROCESO DE ALMACENAJE

DE PRODUCTO TERMINADO

- Entarimado

4

REFINADO DE ACEITE

CRUDO

- Tratamiento ácido

- Neutralización

- Blanqueado

- Desodorizado

- Envasado


5

PROCESO DE ENVASADO

- Envasado producto final

6

PROCESO DE HARINA

INTEGRAL

- Silo Pulmón

- Balanza de Flujo o Sistema Electrónico

de Pesaje de Soya

- Prelimpieza

- Desactivado - Tostado del grano

- Enfriador del grano

- Molino del grano

- Pesado – Embolsado de harina

7

PROCESO DE SISTEMA DE

DESPACHO

- Despacho locales

- Despacho exportación

- Despacho harina integral

8

PROCESO DE

ACONDICIONADO DE

GRANO

- Muestreo del camión

- Control de calidad

- Recepción del camión

- Secado

- Clasificado

- Mesas densimétricas

- Embolsado

- Almacenado

Cuadro N° 1: Procesos de producción33

33 Fuente: Plan de Gestión de Residuos Sólidos Empresa Granos


4.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI

4.2.1 PRINCIPIOS, POLÍTICAS Y MARCOS DE REFERENCIA

Los principales objetivos del departamento de TI que ha tomado como

principios para desarrollar su trabajo, se detallan a continuación:

- Conocer el negocio, siempre enfocarse en los objetivos de la empresa,

encaminando los proyectos hacia los objetivos del negocio.

- Lograr la máxima satisfacción del Cliente, escuchar, comprender y

atender a nuestros clientes, dando soluciones prácticas y sencillas a

través de una atención rápida y eficiente.

- Hacer lo posible por trabajar en equipo, a través de una buena

comunicación entre los miembros del equipo donde prevalezca el

respeto, la igualdad y la confianza para poder así compartir

conocimientos.

- Mantenerse lo más actualizado posible, estar a la vanguardia con la

tecnología para así dar soluciones tecnológicas actuales a nuestros

clientes (usuarios de la empresa).

- Trabajar a la par con los jefes de áreas, negociar con ellos las mejores

soluciones.

- Apoyar a nuestros clientes al logro de sus objetivos, ayudar al cliente

sin tratar de tomar partido, ni imponiéndole ideas o soluciones, llegando

siempre a un consenso.

- Concientizar a los miembros de TI sobre el cuidado de todos los

recursos de TI, para así estar consciente del impacto que estos tienen

sobre el negocio y objetivos de la empresa.


Estos principios se tratan de inculcar a los miembros del departamento de TI

para que sea una guía en el trabajo diario y de esta manera tratar de aplicarlos

a los servicios que brinda el departamento de TI a toda la empresa.

4.2.2 ESTRUCTURA ORGANIZATIVA

El departamento de TI actualmente reporta todas sus actividades a la Gerencia

Comercial, la cual depende directamente de Gerencia General, a continuación

se puede ver la ubicación del departamento de TI respecto a los demás en la

Figura N°16

Gerente Gereral

Gerencia Comercial

Departamento de TI

ProducciónControl de Calidad y

Medio Ambiente

Almacén Contabilidad Recursos HumanosAuditoria

Figura N° 16: Ubicación del departamento de TI en la organización34

El departamento de TI está formado por 5 personas: La jefatura de TI es la

responsable de todo el departamento y cuenta con 3 equipos de trabajo que

están a su cargo para la entrega de servicios, estos se listan a continuación:

Equipo de redes y telecomunicaciones

Equipo de desarrollo y soporte a aplicaciones

Equipo de soporte Help Desk

34 Fuente: Manifiesto Ambiental Industrial Empresa Granos


Estos equipos de trabajo tienen responsabilidades y funciones específicas, a

continuación se muestra un esquema organizacional del departamento de TI

representado en la Figura N°17, donde se puede ver las 4 áreas y las

ubicaciones de los 5 integrantes del departamento de TI en sus respectivas

áreas y responsabilidades, es importante hacer notar que todos los integrantes

no solo se abocan a su departamento y responsabilidades asignadas, sino más

bien que todos colaboran con otras áreas para así lograr un mejor trabajo en

equipo y brindar soluciones rápidas a las solicitudes de los usuarios. Esta

distribución del trabajo se explica con mayor detalle en la siguiente sección de

“procesos del departamento de TI”.

Figura N° 17: Esquema organizacional del departamento de TI35

35 Fuente: Elaboración propia


4.2.3 PERSONAS, HABILIDADES Y COMPETENCIAS

A continuación en el Cuadro N°2 se exponen el personal, las funciones y

responsabilidades que tienen dentro del departamento de TI.

Nro. Profesional Cargo Equipo al que pertenece

Colabora con: “Redes y Telecomunicaciones”

Colabora con: “Desarrollo y Soporte a Aplicaciones”

Colabora con: “Soporte Help Desk”

1

Ing. Sistemas

Jefe de TI

Jefatura de TI

NO

SI

SI

2

Ing. Informático

Administrador de Red

Redes y Telecomunicaciones

SI

SI

SI

3

Ing. Sistemas

Programador 1

Desarrollo y Soporte a Aplicaciones

NO

NO

SI

4

Ing. Informático

Programador 2

Desarrollo y Soporte a Aplicaciones

NO

NO

SI

5

Ing. Telecomunicaciones

Soporte Técnico

Soporte y Help Desk

SI

NO

NO

Cuadro N° 2: Personal del departamento de TI


4.2.4 PROCESOS

Los procesos del departamento de TI están divididos en 4 categorías acorde a

la forma actual como están organizadas y divididas todas las actividades dentro

del mismo, estas abarcan todos los servicios que el departamento de TI ofrece

a la empresa.

4.2.4.1 PROCESOS DE LA JEFATURA DE TI

En este equipo está el jefe de TI, el cual tiene el apoyo de los otros 4

integrantes del departamento para poder alcanzar sus logros y objetivos.

Desarrollo de planes y estrategias de servicios de TI acorde a

los requerimientos del negocio.

Desarrollo, aprobación y seguimiento de presupuestos a

proyectos internos y externos.

Seguimiento a seguridad de TI: Usuarios, red, datos y

aplicaciones

Plan de contingencia ante desastres para TI

Control de que los servicios de TI se enmarquen a las políticas

y regulaciones gubernamentales y del negocio.

Plan de soporte y mantenimiento a equipos y usuarios.


4.2.4.2 PROCESOS DE LOS SERVICIOS DE RED Y

TELECOMUNICACIONES

Este equipo está conformado por un administrador de red, al cual le colabora el

encargado de Soporte Help Desk.

Desarrollo y seguimiento de presupuesto de proyectos de

infraestructura de red.

Desarrollo y seguimiento de presupuesto de proyectos para

telecomunicaciones.

Administración de Servidores HP

Administración de la Intranet

Administración de respaldos y recuperaciones

Administración y operaciones sobre la red

- Creación y mantenimientos de usuarios

- Procedimientos de respaldo de la información

- Administración de espacio en disco de los servidores

Seguridad sobre la red local

- Permisos sobre archivos

- Permisos sobre dispositivos

- Seguridad sobre e-mail


- Seguridad sobre restricciones de navegación web de

usuarios

- Administración y políticas de contraseñas de

usuarios

- Privilegios de usuarios

Provisión de comunicación de datos interna y externa

- Estructuración y diseño de redes

- Comunicación de todas la locaciones de la empresa

- Comunicación de todos los centros de acopio rurales

de la empresa

- Switches

- Acceso controlado de internet para la organización

- Proxy, Web cache y Firewall

- VPN (Red Privada Virtual)

- DHCP, DNS (Protocolo de resolución de nombres)

- Active Directory

Seguridad de red y telecomunicaciones

- Seguridad Física

- Seguridad Lógica


Soporte de red y de aplicaciones SCADA (Planta Solvente,

Calderos de Gas y Planta de Refinería)

Centros de Cómputo

- Operaciones

- UPS

- Control de ambiente

- Restricciones de acceso

Administración de Base de Datos

4.2.4.3 PROCESOS DE SERVICIOS DE DESARROLLO Y

SOPORTE A APLICACIONES

Este equipo está conformado por 2 desarrolladores de software más el

administrador de red que también colabora con el desarrollo de aplicaciones.

Obtención de los requerimientos del cliente

- Necesidades

- Definición de requisitos

- Análisis de requisitos

- Alcance del sistema

Diseño estructural y organizativa del software

- Clasificación de requisitos

- Organizar arquitectura del software

Desarrollo del software


- Codificación y depuración del software

Pruebas del software

- Pruebas generales

Implantación del software

- Instalación

- Entrenamiento

Mantenimiento

- Mejoras

- Corrección de errores

- Nuevas funcionalidades

4.2.4.4 PROCESOS DE SERVICIOS DE SOPORTE HELP DESK

Este equipo está conformado por un encargado de Soporte Help Desk al cual le

colaboran los 3 integrantes del equipo de desarrollo.

Soporte a computadoras de escritorio utilizadas para acceder a

la red local de la empresa

- Inventarios

- Reparación y mantenimiento

- Préstamos de equipos a otras áreas de la empresa

- Configuración y distribución de equipos a otras áreas


Servicios de impresión y escaneo

Help Desk

- Primer punto de contacto con el cliente

- Seguimiento y resolución de problemas

- Administración de videoconferencias

Soporte a centros de acopio en áreas rurales.

Soporte a telefonía interna


4.2.5 PRINCIPALES PROCEDIMIENTOS DE TI

Dentro del departamento existen procedimientos que se cumplen en el día a día

a continuación se mencionan los más relevantes.

ID Procedimientos relevantes del departamento de TI

PTI1 Adquisición de equipos

PTI2 Instalación de equipos

PTI3 Mantenimiento de equipos

PTI4 Respaldo de Información (Backup)

PTI5 Administración de Cuentas de Usuarios

PTI6 Administración del acceso a Internet

PTI7 Acceso a los archivos y documentos digitales

PTI8 Nuevos desarrollos de software

PTI9 Modificaciones de software

PTI10 Actualizaciones de software

PTI11 Gestión de Bases de datos

PTI12 Soporte a usuarios locales

PTI13 Soporte a usuarios remotos

PTI14 Administración de códigos para la central telefónica

PTI15 Administración de uso de Dispositivos de almacenamiento

PTI16 Gestión de equipos y personal para época de acopio de materia prima

PTI17 Gestión de servicios externos

Cuadro N° 3: Procedimientos relevantes del departamento de TI


4.2.6 CULTURA, ÉTICA Y COMPORTAMIENTO

Entre los valores más importantes que ayuden a los objetivos del departamento

de TI a conseguir sus logros se han definido los siguientes:

Colaboración: Trabajar codo a codo con los clientes y proveedores externos,

para satisfacer las necesidades de los mismos y recibir la retroalimentación de

experiencias externas para mejorar en el logro de los objetivos del negocio.

Innovación: Generación continua de ideas y estrategias que contribuyan a la

mejora de la empresa.

Transparencia: Absoluta claridad en los procesos y en las acciones de los

integrantes de la empresa.

Servicio: Cumplir con los compromisos y hacerse responsables de los

rendimientos en todos los servicios que el departamento de TI presta.

Integridad: Respetar y cumplir la normativa interna y todo lo que rodea la

empresa.

4.2.7 INFORMACIÓN

Entre los principios más importantes que se han definido en el departamento de

TI respecto a la información se mencionan los siguientes:

- Mantener la confidencialidad óptima que impida el uso de la información

a personas no autorizadas.

- Mantener la integridad que garantice que los datos no sufrirán

modificaciones no autorizadas.

- Garantizar la disponibilidad que garantice el uso de la información a las

personas u aplicaciones autorizadas cuando estas consideren necesario.


- Mantener un óptimo proceso de autenticación de usuarios u aplicaciones

que consumen información de los sistemas.

4.2.8 SERVICIOS, INFRAESTRUCTURA Y APLICACIONES

De acuerdo a los 3 equipos de trabajos conformados en el departamento de TI

(redes y telecomunicaciones, desarrollo y soporte a aplicaciones y soporte help

desk), se han clasificado en 2 categorías los servicios que se presta a la

organización, estos se listan a continuación.

- Servicios por demanda

- Entrega de servicios estándares

4.2.8.1 SERVICIOS POR DEMANDA

El servicio por demanda se realiza cuando un cliente demanda atención a sus

requerimientos para que el departamento de TI le pueda dar una solución a su

problema, el servicio por demanda atiende requerimientos no estándares de los

clientes.

Los equipos de: Desarrollo y Soporte Help Desk son los que atienden este tipo

de servicio y son los responsables de atender, analizar, asistir y apoyar a los

clientes en la solución y obtención de resultados a sus requerimientos.


4.2.8.2 ENTREGA DE SERVICIOS ESTÁNDARES

Este servicio lo realiza el departamento de TI en todo momento y a toda la

organización a través de sus servicios relacionados con los: Datos,

infraestructura de las instalaciones, tecnología y aplicaciones que actualmente

son brindadas por TI a la empresa.

Es importante hacer notar que la entrega de servicios por demanda depende

muy estrechamente de la entrega de servicios estándares, ya que los servicios

por demandan no pueden funcionar y cumplir sus propósitos si es que los

servicios estándares no están funcionando correctamente.

Dentro de la entrega de servicios estándares intervienen los 3 equipos de TI:

Red y telecomunicaciones, desarrollo y soporte a aplicaciones y el equipo se

soporte y help desk.


CAPÍTULO V: CASCADA DE METAS Y GRADO DE MADUREZ DEL

DEPARTAMENTO DE TI

5.1 METODOLOGÍA DE EVALUACIÓN

El objetivo principal dentro de este capítulo es la medición del grado de

madurez de cada uno de los 37 procesos de TI definidos en el marco

referencial, en base al Modelo de Madurez propuesto por COBIT. Para alcanzar

esta meta es necesario identificar y determinar el método más apropiado para

generar la información que permita cuantificar el grado de madurez de cada

proceso de gobierno y gestión.

Como COBIT es un marco de referencia no aplicado en la organización, es

necesario generar información primaria, ya que no existen fuentes secundarias

o documentación que pueda apoyar a la obtención de la información que COBIT

requiere para determinar los grados de madurez. Entonces se ha considerado

tres modelos generales de generación de información que se detallan a

continuación.

5.1.1 OBSERVACIÓN

Técnica científica que en base a la observación y al uso de los sentidos en el

campo donde se desarrollan los eventos de interés; permite generar los datos

necesarios para lograr un objetivo determinado. Su principal ventaja radica en

que es un método sencillo, que puede realizarse en tiempos reducidos y cuyo

costo es mínimo.

Sin embargo dentro de sus desventajas se puede mencionar que genera

información distorsionada, ya que depende de la percepción del observador,

que puede estar influenciado por actitudes, intereses y experiencias pasadas al

momento de cuantificar la información requerida. La técnica de la observación

puede ser muy útil para grupos grandes en los cuales la población no está

accesible para extraer la información.


5.1.2 ENCUESTAS

Técnica que se basa en la creación de un cuestionario de preguntas definidas

en base a una metodología y a un criterio de medición, el cual es entregado a

los individuos para la extracción de información. Dentro de sus ventajas se

menciona que proporciona el punto de vista y la percepción de los procesos que

se buscan medir. Si se selecciona correctamente su muestra entregará datos

muy cercanos a la realidad con un bajo porcentaje de error.

Dentro de sus desventajas se puede mencionar que requiere mayor tiempo y

costos para procesar la información y obtener los resultados buscados. Es muy

útil para grupos grandes donde se puede acceder a una muestra para la

extracción de información.

5.1.3 ENTREVISTAS

Como su nombre lo indica, es una reunión con cada individuo para realizar una

serie de preguntas que tienen como objetivo generar la información requerida.

Con la entrevista hay una interacción directa con los involucrados en el proceso

de generación de información. Dentro de sus ventajas se encuentra el poder

sentir la percepción real de las personas acerca del cuestionario aplicado. Igual

que la encuesta genera información muy precisa si la muestra es correctamente

seleccionada.

Entre sus desventajas se puede mencionar que se requiere tiempo de los

entrevistados, lo cual puede ser difícil de conseguir. Si la muestra es grande los

tiempos de procesamiento serán largos y los costos serán más altos. Es muy

útil para grupos pequeños ya que no se requiere de mucho tiempo y costo para

obtener los datos requeridos.


5.1.4 IDENTIFICACIÓN DE LA MUESTRA

Para escoger el método más adecuado es necesario considerar el tamaño de la

muestra que se va a determinar. Para esto es adecuado recapitular la población

involucrada en la medición de los grados de madurez de los 37 procesos de

gobierno y gestión.

Como se va a medir procesos de TI, los individuos más adecuados para la

medición de los procesos, son los responsables de los procesos y los clientes

de los procesos. Los responsables de los procesos de TI, velan y supervisan

ejecución de las actividades. COBIT define, en cambio, a los clientes de los

procesos a todo individuo que entrega o recibe un producto o servicio de los

procesos de TI. Es muy importante anotar que los procesos de gobierno y

gestión de TI son los procesos internos del manejo de la tecnología de

información.

Responsables de los procesos

El esquema organizacional de TI, la identificación y categorización de los

procesos, muestra como los integrantes del departamento de TI son los

responsables de los procesos, ya que son los encargados de la gestión de

tecnología de la información para satisfacer los requerimientos de negocio.

Aunque muchos de los procesos son ejecutados por los miembros de los

equipos, en muchos procesos los miembros no tienen una visión global de los

objetivos del proceso, desde el punto de vista de COBIT.


Clientes de los Procesos de TI

Los clientes de los procesos de TI, son los individuos que entregan o reciben

productos y servicios de los procesos. En otras palabras tienen algún nivel de

interacción con los procesos en forma directa o indirecta.

Todos los departamentos de la organización, son clientes de TI. Sin embargo

cabe resaltar que los miembros de TI también son clientes internos de algunos

servicios.

Principalmente los equipos de Soporte y Desarrollo, son clientes de los

servicios ofrecidos por los equipos de Redes y Telecomunicaciones, lo cual, los

convierte en valiosos elementos de aporte a las evaluaciones de los servicios

ofrecidos por TI.

5.1.5 MÉTODO SELECCIONADO

Habiendo identificado los responsables y clientes de los procesos de TI, se

aprecia que sería más efectivo aplicar una entrevista a todo el personal del

departamento de TI, por los siguientes fundamentos:

Representan la totalidad de la población que se requiere medir

Son un grupo reducido

La interacción directa permitirá mitigar cualquier confusión que genere la

entrevista

La entrevista puede ser aplicada como un cuestionario, definido en base al

Modelo de Madurez, las variables y los criterios de medición que COBIT

requiere obtener para medir el grado de los procesos. Entonces se aplicarán

entrevistas a los responsables de los procesos de TI.


5.1.6 DEFINICIÓN DE VARIABLES

El objetivo de estudiar y entender el marco de referencia y el Modelo de

Madurez de COBIT, es determinar y medir el grado de madurez de los 37

procesos a través de la aplicación del Modelo de Madurez.

En secciones anteriores se definió que el Modelo de Madurez de COBIT

identifica 6 niveles de madurez para cada proceso que se miden desde 0 hasta

5, que se describen a continuación:


En conclusión la variable a ser medida es “el grado de madurez de los 37

procesos de gobierno y gestión de COBIT”. Se obtendrán 37 mediciones

que equivalen a los grados de madurez de cada proceso. Para este caso,


Cobit 5 © 2012 ISACA®


COBIT ya brinda los rangos de valores (0 a 5) que puede tener estas variables.

Para poder efectuar la medición del grado de madurez se utilizarán las Guías

de administración definidas en el marco de referencia COBIT.

5.1.7 CATEGORIZACIÓN DEL GRADO DE MADUREZ COMO

VARIABLE

A continuación se describe el tipo de variable que se asocia con el grado de

madurez de un proceso en COBIT. Para este proyecto, se definirá que el grado

de madurez puede tener un valor de cero hasta cinco. Esto nos indica que el

grado de madurez es una variable cuantitativa que puede ser calculada

mediante el uso de técnicas matemáticas o estadísticas.

También es necesario indicar que el grado de madurez es una variable

continua, ya que está dentro de un rango y no dentro de una escala, propia de

una variable discreta. Finalmente el grado de madurez puede tener valores

dentro de un universo considerado como finito, ya que no podrá tener un valor

menor a cero, o mayor a cinco. En resumen el grado de madurez tiene las

siguientes características:

Es una variable cuantitativa

Es una variable entera (No real)

Es una variable continua

Pertenece a un Universo finito (mayor o igual a cero y menor o

igual a cinco)


5.2 CASCADA DE METAS

En las investigaciones realizadas por los creadores de COTIB 5, recopilan

metas generales de las empresas y metas generales de tecnología de la

información y las proponen a las empresas como guía de referencias.

El estudio de procesos del departamento de TI, se inicia con la definición de la

estrategia de negocio mediante los objetivos estratégicos de la empresa,

seguidamente se procede a identificar las preocupaciones del negocio sobre TI

de este análisis se obtiene las metas del negocio que tiene relación con las

metas corporativas.

A continuación se realiza el análisis de la relación que existe entre las metas

corporativas propuestas por COBIT5 de manera priorizada con las metas de TI,

obteniendo como resultado las metas TI priorizadas que requiere la empresa,

para determinar el modelo, se analiza la relación que existe entre las metas de

TI priorizadas y los 37 procesos propuestos por COBIT 5.

En resumen, en base a las metas del negocio y metas de TI, se identifican y

priorizan los procesos que TI debe implementar para generar valor a la

empresa, optimizando recursos y riesgos.


5.2.1 CONOCER LOS OBJETIVOS DE LA EMPRESA

Para la mayoría de las empresas, las estrategias del negocio están definidas

por los objetivos que se plantean, GRANOS no es la excepción y a continuación

se listas los objetivos propuestos para así poder alcanzar sus metas:

ID Metas de Negocio: Objetivos Empresariales Granos

OBJ01 Incrementar las utilidades de la empresa

OBJ02 Lograr objetivos de ventas

OBJ03 Promover la eficiencia a través de procesos adecuados

OBJ04 Cumplir, o cuando sea, posible, rebasar las exigencias del cliente

OBJ05 Capacitar al personal para trabajar con eficiencia y calidad

OBJ06 Incrementar la participación del mercado local e internacional

Cuadro N° 4: Objetivos empresariales de Granos

Estos 6 objetivos de alguna manera están alineados con el cuadro de mando

integral (CMI)37 con respecto a las metas financieras, metas de cliente, metas

internas y metas de aprendizaje y crecimiento.

Lo anterior nos permite enmarcar los objetivos empresariales en base a lo

propuesto por el cuadro de mando integral (CMI):

CMI Objetivos de negocios

Financieras

Incrementar las utilidades de la empresa

Lograr objetivos de ventas

Cliente Cumplir, o cuando sea, posible, rebasar las exigencias del

cliente

Interna Promover la eficiencia a través de procesos adecuados

Aprendizaje y

Crecimiento

Capacitar al personal para trabajar con eficiencia y calidad

Incrementar la participación del mercado local e internacional

Cuadro N° 5: Metas corporativas

37 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 4-Visión General de la Cascada de Metas de COBIT

5©2012ISACA®


5.2.2 PRIORIZAR METAS DEL NEGOCIO

Para la realización del análisis y obtención de las metas corporativas que

requiere Granos, se considera que para cada una de sus metas estratégicas de

negocio se define la escala de calificación siguiente:

Primaria (P): cuando su meta de negocio tiene una relación directa con la meta

genérica de COBIT, asegurándose que exista al menos una P en cada fila

horizontal. En este análisis y para facilitar las conclusiones de forma

cuantitativa, se define que P es igual a 2.

Secundaria (S): cuando su meta de negocio tiene una relación indirecta con la

meta genérica de COBIT. En este análisis y para facilitar las conclusiones de

forma cuantitativa, se define que S es igual a 1.

Vacío (V): cuando su meta de negocio no tiene relación alguna con la meta

genérica de COBIT. En este análisis y para facilitar las conclusiones de manera

cuantitativa, se define que V es igual a 0.

COBIT 5, en sus prácticas de cascada de metas propone una valoración

cualitativa de “P”, “S” y “Vacío”, pero a pedido de la Gerencia de TI y la

Gerencia Comercial, se utilizará los valores enteros de “2”, “1” y “0”

respectivamente para obtener una valoración cuantitativa y lograr una mejor

interpretación del mapeo de metas.


La escala de calificación, está dada en base al total máximo que se puede

alcanzar por la sumatoria de los resultados con el máximo valor que se les

pueda asignar (siendo 2 el máximo valor) y solo se van a considerar como

metas priorizadas aquellas que se encuentren en el rango de calificaciones de

la mitad hacia arriba del total máximo, las que se encuentren de la mitad hacia

abajo no serán consideradas.

P = Primaria = 2

S = Secundaria = 1

V = Vacío = 0

Total Máximo = número

Meta considerada = número mayor a la media

Mitad hacia arriba = mayor número desde la media

Mitad hacia abajo = menor número desde la media

La escala de calificación definida anteriormente, se utiliza en todas las matrices

de análisis de cascada de metas que propone COBIT 5.


Escala de medición para la priorización de las “Metas Corporativas”

Total Máximo = 12

Meta considerada = 6 + (Mayor a la media considerada)

Mitad hacia arriba = 7 a 12

Mitad hacia abajo = 0 a 6

En conclusión, en la columna de las metas de negocio se escriben los seis

objetivos propuestos por Granos y se analiza de forma individual con relación a

las diecisiete metas corporativas del modelo de procesos de COBIT 538. La

recomendación de COBIT es mantener un número razonable de metas

estratégicas de negocio debido a que si son más de 10, probablemente algunas

se estén duplicando u otras no sean necesariamente estratégicas y tengan un

enfoque más táctico o de detalle. Sin embargo, de ser el caso depende de la

compañía el procesamiento de todas sus metas definidas.

Para obtener los datos del Cuadro Nro. 6 que se puede ver en el Anexo Nro. 2,

se hicieron reuniones con las personas que ocupan los siguientes cargos, esto

por recomendación del Gerente Comercial.

Gerente Comercial

Jefe de Comercialización

Jefe de Exportación

Jefe de Control de Calidad

Jefe de Finanzas

Jefe de Producción

38 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura –Metas Corporativas de Cobit 5 © 2012 ISACA®


METAS CORPORATIVAS COBIT 5

Valo

r para

las p

art

es inte

resadas d

e la

s in

vers

iones d

e N

egocio

.

Cart

era

de p

roducto

s y

serv

icio

s c

om

petitivos.

Rie

sgos d

e n

egocio

s g

estio

nados (

salv

aguard

a los a

ctivos)

Cum

plim

iento

de leyes y

regula

cio

nes e

xte

rnas

Tra

nspare

ncia

fin

ancie

ra.

Cultura

de s

erv

icio

orie

nta

da a

l clie

nte

.

Contin

uid

ad y

dis

ponib

ilidad d

el serv

icio

de n

egocio

.

Respuesta

s á

gile

s a

un e

nto

rno d

e n

egocio

cam

bia

nte

.

To

ma e

str

até

gic

a d

e d

ecis

iones b

asada e

n info

rma

ció

n.

Optim

izació

n d

e c

osto

s d

e e

ntr

ega d

e s

erv

icio

s.

Optim

izació

n d

e la

funcio

nalid

ad d

e lo

s p

rocesos d

e n

egocio

.

Optim

izació

n d

e lo

s c

osto

s d

e los p

rocesos d

e n

egocio

.

Pro

gra

ma

s g

estio

nados d

e c

am

bio

en e

l negocio

Pro

ductivid

ad o

pera

cio

nal y d

e lo

s e

mp

leados

Cum

plim

iento

con las p

olíticas inte

rnas.

Pers

onas p

repara

das y

mo

tivadas.

Cultura

de in

novació

n d

el pro

ducto

y d

el negocio

.

ID 1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

ID

Metas del Negocio: Objetivos

Empresariales de Granos

FINANCIERAS

CLIENTE

INTERNA

A&C

OBJ01 Incrementar las utilidades de la empresa 2 1 0 0 0 1 2 2 2 2 1 2 1 1 0 2 2

OBJ02 Lograr objetivos de ventas 2 2 0 0 0 2 2 2 2 2 0 2 0 2 0 2 2

OBJ03 Cumplir, o cuando sea, posible, rebasar

las exigencias del cliente

2 2 0 0 0 0 2 2 2 0 0 0 0 0 0 0 2

OBJ04 Promover la eficiencia a través de

procesos adecuados

2 2 0 0 0 0 2 2 2 0 0 2 0 0 0 0 2

OBJ05 Capacitar al personal para trabajar con

eficiencia y calidad

2 2 0 1 2 1 1 2 2 0 2 2 1 2 0 2 2

OBJ06 Incrementar la participación del mercado

local e internacional

2 2 0 2 1 2 2 2 2 1 0 0 2 2 0 1 2

PUNTUACIÓN 12

11

0 3 3 6 11

12

12

5 3 8 4 7 0 7 12

Cuadro N° 6: Metas de negocios de Granos vs Metas corporativas de COBIT 5

En la siguiente tabla se muestra las metas corporativas que han sido

priorizadas en base a la puntuación obtenida del análisis realizado, que es la

sumatoria de la calificación de cada meta corporativa.


CMI ID Metas de Negocio: Objetivos Empresariales Granos

Financieras 1 Valor para las partes interesadas de las inversiones de Negocio.

2 Cartera de productos y servicios competitivos.

Cliente 7 Continuidad y disponibilidad del servicio de negocio.

8 Respuestas ágiles a un entorno de negocio cambiante.

9 Toma estratégica de decisiones basada en información.

Interna 12 Optimización de los costos de los procesos de negocio

14 Productividad operacional y de los empleados

Aprendizaje y

Crecimiento

16 Personas preparadas y motivadas.

17 Cultura de innovación del producto y del negocio.

Cuadro N° 7: Metas de negocios, Objetivos Empresariales Granos

5.2.3 PRIORIZAR METAS DE TI

Para priorizar las metas de TI, se necesita realizar un estudio a partir de las

metas corporativas obtenidas en el punto anterior (Cuadro Nro. 7) y valorarlas

en relación con las 17 metas de TI propuestas por COBIT 5. Para encontrar las

metas de TI en base a las metas corporativas de TI priorizadas, se utiliza el

mismo método de calificación descrita en el punto anterior, considerando que la

métrica usada está dada en base al total máximo que se puede alcanzar entre

el número de metas corporativas resultantes, y tomando en cuenta las metas

que se encuentren en el rango de calificación de la mitad hacia arriba, y las

metas que se encuentren de la mitad hacia abajo no son consideradas, estas

últimas solo pueden ser consideradas si en base al análisis interno, son metas

que Granos necesita trabajar para alcanzar las metas estratégicas.


se hicieron reuniones con las personas que ocupan los siguientes cargos, esto

por recomendación del Gerente Comercial: Jefe de Comercialización, Jefe de

Exportación, Jefe de Control de Calidad y todo el equipo del departamento de

TI.


Escala de medición para la priorización de las “Metas de TI”

Total Máximo = 18





METAS DE TI PROPUESTAS POR COBIT 5

Alin

ea

mie

nto

de

TI

y la

estr

ate

gia

de n

ego

cio

Cum

plim

iento

y s

op

ort

e d

e la T

I al cu

mplim

iento

del n

eg

ocio

de las leyes y

reg

ula

cio

nes

exte

rnas

Com

pro

mis

o d

e la

dir

ecció

n e

jecutiva

para

to

ma

r d

ecis

ione

s r

ela

cio

na

da

s c

on T

I

Rie

sg

os d

e n

eg

ocio

rela

cio

na

dos c

on las T

I g

estiona

dos

Realiz

ació

n d

e b

en

eficio

s d

el p

ort

afo

lio d

e I

nvers

ione

s y

Serv

icio

s r

ela

cio

nad

os c

on

las T

I

Tra

nspare

ncia

de los c

oste

s, b

en

eficio

s y

rie

sg

os d

e las T

I

Entr

ega

de

se

rvic

ios d

e T

I d

e a

cu

erd

o a

los r

equis

itos d

el ne

gocio

Uso a

decua

do d

e a

plic

acio

ne

s, in

form

ació

n y

solu

cio

nes t

ecnoló

gic

as

Agili

da

d d

e las T

I

Segu

rid

ad d

e la in

form

ació

n, in

fra

estr

uctu

ra d

e p

rocesam

iento

y a

plic

acio

nes

Optim

izació

n d

e a

ctivos,

recurs

os y

ca

pacid

ad

es d

e las T

I

Capa

citació

n y

so

po

rte

de p

rocesos d

e n

egocio

inte

gra

ndo

aplic

acio

nes y

tecn

olo

gía

en

pro

ce

sos d

e n

egocio

Entr

ega

de

Pro

gra

mas q

ue

pro

porc

ion

en b

en

eficio

s a

tie

mp

o,

den

tro d

el p

resupu

esto

y

satisfa

cie

nd

o los r

equis

itos y

norm

as d

e c

alid

ad.

Dis

po

nib

ilid

ad d

e info

rmació

n ú

til y r

ele

vante

para

la

to

ma d

e d

ecis

iones

Cum

plim

iento

de la

s p

olíticas in

tern

as p

or

pa

rte

de las T

I

Pers

onal del ne

gocio

y d

e las T

I co

mpe

tente

y m

otiva

do

Cono

cim

iento

, exp

erie

ncia

e inic

iativas p

ara

la

inn

ova

ció

n d

e n

eg

ocio

ID

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

ID

Metas Corporativas

FINANCIERAS

CLI.

INTERNA

A&C

1 Valor para las partes interesadas de las

inversiones de Negocio.

2 2 2 2 2 2 2 0 1 0 1 0 0 2 0 0 2

2 Cartera de productos y servicios

competitivos.

2 0 2 0 1 0 2 2 2 0 0 1 0 2 0 2 2

7 Continuidad y disponibilidad del servicio de

negocio.

2 0 2 2 0 0 2 0 2 0 2 1 0 2 0 1 0

8 Respuestas ágiles a un entorno de negocio

cambiante

1 2 1 0 0 0 1 2 2 0 2 0 2 2 1 0 1

9 Toma estratégica de decisiones basada en

información.

2 0 2 0 2 0 1 2 2 0 2 0 2 2 0 1 0

12 Optimización de los costos de los procesos

de negocio

2 0 2 1 1 2 1 0 0 0 2 2 2 1 1 1 1

14 Productividad operacional y de los

empleados

2 2 2 0 0 0 2 2 2 2 2 2 2 2 2 2 2

16 Personas preparadas y motivadas. 0 1 0 2 1 0 2 2 2 1 2 2 2 0 2 2 2

17 Cultura de innovación del producto y del

negocio.

2 0 1 0 1 0 1 0 1 0 0 0 2 0 0 1 2

PUNTUACIÓN 15

7 14

7 8 4 14

10

14

3 13

8 12 13 6 10

12

Cuadro N° 8: Metas corporativas COBIT 5 vs Metas de TI COBIT 5


Del estudio que se realiza en relación a las Metas corporativas priorizadas y a

las 17 metas de TI que propone COBIT, se obtiene como resultado las

siguientes 10 metas que se consideran relevantes en el análisis, representando

una guía para la selección de los procesos que se deben fortalecer, a

continuación se las exponen en el siguiente cuadro:

CMI ID Metas de TI Relevantes

Financieras 1 Alineamiento de TI y la estrategia de negocio

3 Compromiso de la dirección ejecutiva para tomar decisiones

relacionadas con TI

Cliente 7 Entrega de servicios de TI de acuerdo a los requisitos del

negocio

8 Uso adecuado de aplicaciones, información y soluciones

tecnológicas

Interna 9 Agilidad de las TI

11 Optimización de activos, recursos y capacidades de las TI

13 Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad.

14 Disponibilidad de información útil y relevante para la toma de

decisiones

Aprendizaje y

Crecimiento

16 Personal del negocio y de las TI competente y motivado

17 Conocimiento, experiencia e iniciativas para la innovación de

negocio

Cuadro N° 9: Metas de TI Relevantes

Hasta aquí, ya contamos con la priorización de las metas del negocio y las

metas de TI, a continuación vamos a realizar un análisis de las metas de TI

priorizadas con los 37 procesos de COBIT para así poder priorizar los procesos

de TI que realmente interesan al negocio para el logro de sus objetivos

propuestos.


5.2.4 PRIORIZAR LOS PROCESOS DEL NEGOCIO PROPUESTO POR

COBIT

De los 37 procesos que se encuentran en la clasificación mencionada por

COBIT, se realiza el análisis de los procesos que requiere implementar la

empresa GRANOS, para lo cual se utiliza el mismo método de calificación

descrito en el análisis anterior. En el análisis siguiente, se utilizan las 10 metas

de TI priorizadas versus los 37 procesos habilitantes propuesto por COBIT 5.

Escala de medición para la priorización de los “Procesos de COBIT 5”

Total Máximo = 20





se hicieron reuniones con todo el equipo del departamento de TI.


Empresa: Granos

Metas de TI Relevantes

Alin

ea

mie

nto

de

TI

y la

estr

ate

gia

de n

ego

cio

Com

pro

mis

o d

e la

dir

ecció

n e

jecutiva

para

to

ma

r d

ecis

ione

s

rela

cio

nad

as c

on T

I

Entr

ega

de

se

rvic

ios d

e T

I d

e a

cu

erd

o a

los r

equis

itos d

el ne

gocio

Uso a

decua

do d

e a

plic

acio

ne

s, in

form

ació

n y

solu

cio

nes t

ecnoló

gic

as

Agili

da

d d

e las T

I

Optim

izació

n d

e a

ctivos,

recurs

os y

ca

pacid

ad

es d

e las T

I

Entr

ega

de

Pro

gra

mas q

ue

pro

porc

ion

en b

en

eficio

s a

tie

mp

o,

den

tro

del pre

sup

uesto

y s

atisfa

cie

ndo los r

eq

uis

itos y

norm

as d

e c

alid

ad.

Dis

po

nib

ilid

ad d

e info

rmació

n ú

til y r

ele

vante

para

la

to

ma d

e

decis

ione

s

Pers

onal del ne

gocio

y d

e las T

I co

mpe

tente

y m

otiva

do

Cono

cim

iento

, exp

erie

ncia

e inic

iativas p

ara

la

inn

ova

ció

n d

e n

eg

ocio

SECTOR 1 3 7 8 9 11 13 14 16 17

ID

PROCESOS

FINANCIERAS

CLIENTE

INTERNA

A&C

Tot.

Evalu

ar,

Ori

en

tar

y S

up

erv

isar

EDM01 Asegurar el establecimiento y mantenimiento del Marco de Gobierno

2 2 2 1 2 1 2 2 2 1 17

EDM02 Asegurar la Entrega de Beneficios 2 2 2 2 1 1 2 0 1 2 15

EDM03 Asegurar la Optimización de Riesgos

1 1 1 2 2 2 1 0 0 0 10

EDM04 Asegurar la Optimización de los Recursos

1 2 2 1 2 2 1 2 2 1 16

EDM05 Asegurar la transparencia hacia las partes Interesadas

1 2 2 1 1 1 0 2 0 0 10

Alin

ear,

Pla

nif

icar

y O

rgan

izar

APO01 Gestionar el Marco de Gestión de TI

2 2 2 1 2 2 1 1 2 2 17

APO02 Gestionar la Estrategia 2 1 2 1 1 2 2 1 1 2 15

APO03 Gestionar la Arquitectura Empresarial

2 2 1 0 1 2 0 1 0 0 9

APO04 Gestionar la Innovación 1 1 0 2 2 1 0 0 1 2 10

APO05 Gestionar el Portafolio 2 1 1 0 0 1 2 1 0 0 8

APO06 Gestionar el Presupuesto y los costos

2 2 1 0 1 0 2 1 0 0 9

APO07 Gestionar los Recursos Humanos 2 1 1 0 1 2 2 1 2 2 14

APO08 Gestionar las Relaciones 1 1 1 1 1 1 1 1 1 1 10

APO09 Gestionar los acuerdos de Servicio

2 2 2 1 1 1 2 2 0 0 13

APO10 Gestionar los Proveedores 2 1 2 1 2 1 1 0 0 0 10

APO11 Gestionar la Calidad 2 1 2 2 0 1 1 0 0 0 9

APO12 Gestionar el Riesgo 1 2 0 2 0 0 2 1 1 0 9

APO13 Gestionar la Seguridad 1 1 2 1 0 1 2 1 0 0 9


Co

nstr

uir

, A

dq

uir

ir e

Im

ple

me

nta

r

BAI01 Gestionar los Programas y Proyectos

2 2 2 0 1 2 2 0 2 1 14

BAI02 Gestionar la Definición de Requisitos

2 1 2 0 0 1 0 1 1 0 8

BAI03 Gestionar la Identificación y la Construcción de Soluciones

2 1 2 0 1 0 1 1 0 0 8

BAI04 Gestionar la Disponibilidad y la Capacidad

1 1 2 1 1 2 0 2 0 0 10

BAI05 Gestionar la Introducción de cambios Organizativos

1 2 1 2 0 0 2 0 1 1 10

BAI06 Gestionar los Cambios 2 1 2 2 1 0 0 1 0 1 10

BAI07 Gestionar la Aceptación del Cambio y de la Transición

1 1 2 2 1 0 1 0 1 0 9

BAI08 Gestionar el Conocimiento 1 1 1 2 2 0 1 1 0 1 10

BAI09 Gestionar los Activos 2 1 2 0 0 1 1 1 0 0 8

BAI10 Gestionar la Configuración 1 1 1 1 0 2 1 2 1 0 10

En

tre

gar,

dar

Serv

icio

y S

op

ort

e

DSS01 Gestionar las Operaciones 2 2 2 1 0 2 1 2 2 1 15

DSS02 Gestionar las Peticiones y los Incidentes del Servicio

2 2 2 1 1 0 1 1 0 0 10

DSS03 Gestionar Los Problemas 2 2 2 1 1 2 1 2 2 0 15

DSS04 Gestionar la Continuidad 1 1 2 0 1 0 1 2 1 1 10

DSS05 Gestionar los Servicios de Seguridad

1 1 2 1 1 1 0 1 0 0 8

DSS06 Gestionar los controles de los procesos del Negocio

1 1 2 0 1 1 1 1 1 0 9

Su

perv

isar,

Ev

alu

ar

y V

alo

rar

MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad

2 2 2 1 1 2 1 1 2 1 15

MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno

2 1 0 1 0 1 1 0 2 0 8

MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos

1 1 1 1 1 1 1 1 1 1 10

Cuadro N° 10: Priorización de procesos acorde a las metas de TI relevantes


Nro.

Dominio

ID

Procesos priorizados

Total Calificación

1

Evaluar, Orientar y Supervisar

EDM01

Asegurar el establecimiento y mantenimiento del Marco de Gobierno

17

2

EDM02

Asegurar la Entrega de Beneficios 15

3

EDM04

Asegurar la Optimización de los Recursos 16

4

Alinear, Planificar y Organizar

APO01

Gestionar el Marco de Gestión de TI 17

5

APO02

Gestionar la Estrategia 15

6

APO07

Gestionar los Recursos Humanos 14

7

APO09

Gestionar los acuerdos de Servicio 13

8

APO10

Gestionar los Proveedores 10

9

Construir, Adquirir e Implementar

BAI01

Gestionar los Programas y Proyectos 14

10

Entregar, dar Servicio y Soporte

DSS01

Gestionar las Operaciones 15

11

DSS03

Gestionar Los Problemas 15

12

DSS02

Gestionar las Peticiones y los Incidentes del Servicio

10

13

Supervisar, Evaluar y Valorar

MEA01

Supervisar, Evaluar y Valorar Rendimiento y Conformidad

15

Cuadro N° 11: Procesos priorizados acorde a las metas de TI relevantes


5.2.5 CONCLUSIONES Y RECOMENDACIONES DEL ANÁLISIS DE

CASCADA DE METAS.

Como resultado del análisis de cascada de metas, se han identificado a 11

procesos como relevantes para el departamento de TI, estos se pueden

observar en el Cuadro N°10 en el punto anterior, sin embargo a pedido de la

Jefatura de TI y por considerarlos también importantes se han incluido 2

procesos más, que si bien es cierto que no están dentro de la priorización, si

son necesarios para la ejecución de actividades que requiere la empresa, para

lo cual COBIT recomienda, que de darse el caso que exista procesos relevantes

para la consecución de metas estratégicas empresariales y que no se

encuentren en el análisis realizado, se puede considerar el o los procesos

necesarios39, para el caso de la empresa Granos se considera dos procesos

adicionales que son: Gestionar los proveedores (APO10) y Gestionar las

peticiones y los incidentes de servicios (DSS02), en total suman 13 procesos

que se han priorizado para su pronta implementación en la empresa Granos.

La lista oficial de los 13 procesos relevantes, priorizados por el análisis de

cascada de metas para el departamento de TI, se la puede ver en el cuadro

N°11 expuesto anteriormente.

El análisis de cascada de metas es muy útil, ya que nos ayuda a identificar y

priorizar los procesos más importantes del departamento de TI, seguidamente

vamos a tener que evaluar estos procesos y así poder determinar su estado

actual, para luego poder definir métodos y estrategias de mejoramiento y

actualización, de manera tal que estos sean efectivos y eficientes para el fin que

fueron creados. Para realizar este análisis vamos a utilizar el método de

evaluación del grado de madurez para los procesos de TI propuesto por COBIT

5.

39 Fuente: COBIT® 5 Framework-Spanish.pdf, Utilizar la Cascada de Metas Cobit 5 Cuidadosamente,

Pág. Nro. 16 © 2012 ISACA®


5.3 EVALUACIÓN DEL GRADO DE MADUREZ DE PROCESOS DE TI

En el Cuadro Nro. 11, anteriormente expuesto, se exponen los 13 procesos

priorizados a estudiar, para así poder determinar el grado de madurez de estos

procesos priorizados del departamento de TI, sin embargo como se quiere tener

una visión más amplia, la jefatura de TI ha recomendado evaluar los 37

procesos de COBIT 5 y de esta manera evaluar el grado de madurez de todos

los procesos de TI que propone COBIT.

5.3.1 DEFINICIÓN DE INDICADORES DE ÉXITO PARA LOS

DOMINIOS DE COBIT 5.0

Antes de empezar la evaluación de procesos, la Gerencia Comercial y la

Gerencia de TI tienen algunas expectativas sobre los resultados a obtener,

esperando que estos con la mejora de procesos, por lo menos alcancen un

“Nivel 3” y en lo posible logren un “Nivel 4”. El “Nivel 5: Optimizado”, no será

considerado porque todavía no es objetivo de estas gerencias.

Para determinar las brechas existentes de los procesos han acordado definir los

siguientes indicadores de éxito para la evaluación:

Nivel “Mínimo aceptable”: El nivel que, sin ser necesariamente el

óptimo deseado, al menos asegura cubrir las expectativas mínimas.

Nivel Mínimo aceptable acordado: 3

Nivel “óptimo”: Es el nivel que corresponde a la más alta expectativa de

la gerencia de la empresa.

Nivel Óptimo acordado: 4


Luego de la revisión realizada de los diferentes procesos de COBIT 5

obtendremos el “nivel observado”, y para considerarlo como indicador de éxito

este deberá ser igual o superior al valor del nivel “mínimo aceptable acordado”.

Es importante mencionar que está definición se basa en los atributos genéricos

de capacidad de procesos40, y según lo acordado y definido por Granos, el nivel

mínimo aceptable acordado es 3, que específica tener procesos definidos y

gestionados usando procesos definidos y estableciendo bajo políticas y

procedimientos documentados, formalizados, aprobados y difundidos a toda la

organización.


5.3.2 DETERMINACIÓN DE LOS NIVELES DE MADUREZ PARA

CADA PROCESO DE LOS DOMINIOS DE COBIT 5.0

La determinación de niveles de madurez para cada proceso de los cinco

dominios de COBIT 5 en la empresa Granos nos permite identificar y ubicar qué

tipo de proceso se está gestionando y llevando a cabo en la organización. Cabe

señalar que para esta identificación se hizo a través de reuniones y entrevistas

con todo el personal del departamento de TI de la empresa.


Cobit 5 © 2012 ISACA® 41 Fuente: COBIT® 5 Framework-Spanish.pdf, Figura 19-Resumen del Modelo Capacidad de Procesos de

Cobit 5 © 2012 ISACA®


5.3.3 DETERMINACIÓN DE BRECHAS PARA CADA ACTIVIDAD DE

LOS PROCESOS DE COBIT 5.0

Una vez identificado el nivel de madurez para cada proceso de los cinco

dominios de COBIT determinamos las brechas existentes para cada uno de los

procesos de COBIT. Es decir, determinamos para cada proceso evaluado si la

diferencia de la situación actual observada respecto al nivel mínimo acordado

(nivel que, sin ser necesariamente el óptimo deseado, al menos asegura cubrir

los requerimientos clave del negocio) es mínima, moderada o significativa. Para

la definición e identificación de niveles de madurez y brechas se ha aplicado la

escala de PAM (Process Assessment Model)42 bajo los siguientes criterios

detallados a continuación:

42 http://www.isaca.org/COBIT/Pages/COBIT-5-PAM.aspx


Nivel Observado (NO)

Nivel Mínimo Aceptable

(NMA)

Definición de

Brechas

Nivel 0 Incompleto

El proceso no está implementado o no alcanza su propósito. A este nivel, hay muy poca o ninguna evidencia de ningún logro sistemático del propósito del proceso.

3

Si NMA – NO = 3

Brecha

significativa

Nivel 1 Ejecutado

El proceso implementado alcanza su propósito.

3

Si NMA – NO = 2

Brecha moderada

Nivel 2 Administrado

El proceso ejecutado descrito anteriormente está ya implementado de forma gestionada (planificado, supervisado y ajustado) y los resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente.

3

Si NMA – NO = 1

Brecha moderada

Nivel 3 Establecido

El proceso gestionado descrito anteriormente está ahora implementado usando un proceso definido que es capaz de alcanzar sus resultados de proceso.

3

Si NMA – NO <= 0

Brecha mínima

Nivel 4 Predecible

El proceso establecido descrito anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso.

3

Si NMA – NO <= 0

Brecha mínima

Nivel 5 Optimizado

El proceso predecible descrito anteriormente es mejorado de forma continua para cumplir con las metas empresariales presentes y futuros.

3

Si NMA – NO <= 0

Brecha mínima

Cuadro N° 12: Criterios de evaluación y determinación de brechas


5.4.3 DETERMINACIÓN DE NIVELES DE MADUREZ Y BRECHAS

EXISTENTES EN EL DEPARTAMENTO DE TI

5.4.3.1 GOBIERNO: EVALUAR, ORIENTAR Y SUPERVISAR

EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno

Área: Gobierno Dominio: Evaluar, Orientar y Supervisar

Descripción del Proceso Nivel de Madurez Observado:

0 = Proceso Incompleto

Analiza y articula los requerimientos para el gobierno de TI de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadores, con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa.

Observaciones: No existe un sistema de gobierno de TI. Los beneficios y riesgos de las

soluciones proporcionadas a los usuarios se reconocen de manera intuitiva.

No existe un modelo estratégico de toma de decisiones para que las TI sean efectivas y estén alineadas al negocio.

Planes de Acción:

Definir el modelo de Gobierno de TI Definir el plan estratégico de TI

EDM02 Asegurar la Entrega de Beneficios



1 = Proceso Ejecutado

Optimizar la contribución al valor del negocio desde los procesos de negocio, de los servicios TI y activos de TI resultado de la inversión hecha por TI a unos costes aceptables.

Observaciones: No existe una gestión de presupuesto. No se proyectan ni controlan beneficios

de las inversiones. En los proyectos individuales si se realiza

una gestión de presupuestos pero no se gestionan los beneficios.

Planes de Acción:



EDM03 Asegurar la Optimización del Riesgo




Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.

Observaciones: El Departamento de TI es conciente de los riesgos que está expuesto, sin embargo, no se ha tomado ninguna acción ante los mismos.

No se ha hecho una identificación de riesgos.

No existe un estudio del impacto que tienen los riesgos de TI con los objetivos de la organización.

Planes de Acción:


EDM04 Asegurar la Optimización de Recursos




Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.

Observaciones: No se cuenta con una clasificación actualizada de los recursos de TI.

No existe una asignación ni gestión de presupuesto.

Las aprobaciones de nuevos proyectos y cualquier otra inversión, se las realiza desde la Gerencia Comercial, del cual depende el departamento de TI.

No existe un plan de capacitación para el personal.

No existe un sistema de medición de capacidades para el personal.

Planes de Acción:



5.4.3.2 DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR

EDM05 Asegurar la Transparencia hacia las Partes Interesadas




Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de TI de la empresa son transparentes, con aprobación por parte de las partes interesadas de las metas, las métricas y las acciones correctivas necesarias.

Observaciones: No existe un sistema de encuestas u otro tipo de sondeo, para poder captar las conformidades o desconformidades de los clientes finales sobre los servicios que brinda el departamento de TI.

No existe un sistema de elaboración de informes en cuanto al desempeño del departamento de TI.

Planes de Acción:



Área: Gestión Dominio: Alinear, Planificar y Organizar



Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.

Observaciones: No existen políticas, ni procedimientos bien definidos ni documentados en el departamento de TI, a pesar de que existe el reconocimiento de la importancia y necesidad de los mismos.

No se cuenta con un plan estratégico de TI alineado con el de la empresa.

Planes de Acción:

Definir el modelo de Gobierno de TI Definir el plan estratégico de TI Definir Políticas y Procedimientos de TI


APO02 Gestionar la Estrategia Área: Gestión Dominio: Alinear, Planificar y Organizar



Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos.

Observaciones: No existe ningún plan para gestionar estrategias del departamento de TI que sirvan de apoyo ante cualquier eventualidad.

No existe una adecuada comunicación de los objetivos y la visión actual del negocio para ser comprendida por todos, ya que se dan tareas con información específica sin una visión del todo.

Planes de Acción:

- Definir el modelo de Gobierno de TI - Definir el plan estratégico de TI





Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales como la reutilización de bloques de componentes para los procesos de construcción.

Observaciones: No existe una arquitectura común que contribuya en la realización de estrategias del departamento de TI.

No existe un estudio de los riesgos asociados al cambio de visión de una arquitectura

Planes de Acción:

Desarrollar el modelo de Arquitectura empresarial

Definir el modelo de Gobierno de TI


APO04 Gestionar la Innovación Área: Gestión Dominio: Alinear, Planificar y Organizar



Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de empresa.

Observaciones: No existe un enfoque de innovación tecnológica.

Se innova en el departamento cuando existe alguna exigencia de algún requerimiento de parte de los usuarios.

Planes de Acción:

Definir el plan estratégico de TI Implementar Herramientas

Automatizadas de TI


APO05 Gestionar el Portafolio Área: Gestión Dominio: Alinear, Planificar y Organizar



Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación. Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de fondos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los programas seleccionados al portafolio de servicios activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de programas y servicios o al cambio en las prioridades corporativas.

Observaciones: Se toman decisiones presupuestales enfocadas de modo reactivo y operativo.

Existe un portafolio de servicios de TI, al cual se lo maneja de forma improvisada. La organización reconoce la necesidad de administrar un portafolio de TI.

La asignación de responsabilidades para la selección de inversiones en TI y de desarrollo de presupuestos se lo hace solo para proyectos determinados.

Planes de Acción:

Definir el plan estratégico de TI Implementar Herramientas

Automatizadas de TI

APO06 Gestionar el Presupuesto y los Costes




Gestionar las actividades financieras relacionadas con las TI tanto en el negocio como en las funciones de TI, abarcando presupuesto, coste y gestión del beneficio, y la priorización del gasto mediante el uso de prácticas presupuestarias formales y un sistema justo y equitativo de reparto de costes a la empresa. Consultar a las partes interesadas para identificar y controlar los costes totales y los beneficios en el contexto de los planes estratégicos y tácticos de TI, e iniciar acciones correctivas cuando sea necesario.

Observaciones: No hay un procedimiento formal sobre la identificación de costos y sobre los procedimientos de asignación.

Hay conciencia general de la necesidad de identificar y asignar presupuestos y costos.

La asignación de costos está basada en suposiciones informales.

No está asignada la responsabilidad sobre la recopilación o la asignación de los costos.

Planes de Acción:

Definir el plan estratégico de TI Definir Políticas y Procedimientos de TI


APO07 Gestionar los Recursos Humanos




Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.

Observaciones: Existe personal en el área de TI, que si este recurso clave faltaría, no se tendría todo el conocimiento de sus funciones para mitigar algún riesgo en las operaciones a su cargo dentro del departamento de TI.

No existe un plan de capacitación/entrenamiento para el área de TI

Planes de Acción:

Difundir el enfoque de administración de proyectos.

Asegurar el entrenamiento y soporte a usuarios

Definir el modelo de Gobierno de TI

AP008 Gestionar las relaciones Área: Gestión Dominio: Alinear, Planificar y Organizar



Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves.

Observaciones: Los roles y las responsabilidades no están difundidos ni reforzados.

Las relaciones entre el negocio y TI se basan en la confianza mutua.

Las actividades y funciones de TI son reactivas y se considera como una función de soporte, sin una perspectiva de negocio o estrategia.

Planes de Acción:

Definir el modelo de Gobierno de TI Definir Políticas y Procedimientos de TI


AP009 Gestionar los acuerdos de servicio




Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.

Observaciones: No existen procedimientos para asegurar que los servicios de TI cubran las necesidades presentes y futuras de la empresa.

No existen acuerdos de niveles de servicio, por tal motivo no existen reportes, supervisión y procesos para el cumplimiento de los acuerdos de niveles de servicio.

Planes de Acción:

Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI

APO10 Gestionar los Proveedores Área: Gestión Dominio: Alinear, Planificar y Organizar



Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.

Observaciones: Los contratos que tiene el departamento de TI con los proveedores de servicios son muy básicos y solo se indican condiciones estándares de los servicios que prestan.

El seguimiento a las soluciones y soporte que proporcionan los proveedores es muy informal.

Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio ya que poseen información muy general y solo se encuentran impresos en papel, los cuales son difíciles de gestionar para poder armar un reporte.

Planes de Acción:

Definir el modelo de Gobierno de TI Definir Políticas y Procedimientos de TI


APO11 Gestionar la Calidad Área: Gestión Dominio: Alinear, Planificar y Organizar



Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.

Observaciones: La alta dirección y el equipo de TI reconocen que un programa de calidad es necesario.

La organización carece de metodologías de calidad, por ejemplo no cuenta con una metodología de ciclo de vida de desarrollo de sistemas ni de aseguramiento de calidad en proyectos de TI.

La calidad de los proyectos y operaciones se revisa esporádicamente.

No existe documentación de los sistemas desarrollados internamente.

La mayoría de los sistemas adquiridos a proveedores externos no cuentan con su respectiva documentación.

Planes de Acción:

Difundir el enfoque de administración de proyectos

APO12 Gestionar el Riesgo Área: Gestión Dominio: Alinear, Planificar y Organizar



Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.

Observaciones: La administración de riesgos no se ha identificado como algo relevante para adquirir soluciones de TI y para prestar servicios de TI.

No existen evaluaciones de riesgos para los procesos y las decisiones del negocio.

La organización no toma en cuenta los impactos en el negocio asociados a las vulnerabilidades de seguridad.

La organización no toma en cuenta a las incertidumbres del desarrollo de proyectos.

Los procedimientos de pruebas de los sistemas se los hace de forma rudimentaria sin seguir un procedimeinto definido u alguna metodología.

Planes de Acción:

Definir el modelo de Gobierno de TI Implementar la gestión de riesgos de TI


5.4.3.3 DOMINIO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR

APO13 Gestionar la Seguridad Área: Gestión Dominio: Alinear, Planificar y Organizar



Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.

Observaciones: En la empresa el departamento de TI tiene establecido políticas de seguridad de la información.

No se cuenta con un sistema automatizado de monitoreo de aplicación de estas políticas y su revisión se la hace de forma manual.

No se cuenta con un sistema de reportes de infracciones a las políticas establecidas.

Planes de Acción:

Definir el modelo de Gobierno de TI Implementar la gestión de riesgos de TI Definir políticas y procedimientos de TI

BAI01 Gestión de Programas y Proyectos

Área: Gestión Dominio: Construir, Adquirir e Implementar



Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.

Observaciones: Los procedimientos y metodologías de administración de proyectos de TI no han sido establecidos.

No se ha designado a un responsable sobre la administración de proyectos dentro de TI, con roles y responsabilidades definidas.

El departamento de TI es consciente de la necesidad de la administración de los proyectos de TI.

Los proyectos de TI no se monitorean, con cronogramas y mediciones de presupuesto y desempeño definidos y actualizados.

Planes de Acción:







Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios. Coordinar con las partes interesadas afectadas la revisión de las opciones viables, incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los requerimientos y soluciones propuestas.

Observaciones: La adquisición y mantenimiento de hardware, software y servicios de TI, no se basa en ningún lineamiento definido que esté bien documentado y sea ampliamente conocido.

No existe un análisis previo de costos y beneficios antes de realizar la adquisición de un hardware, software o servicio de TI.

Planes de Acción:

Difundir el enfoque de administración de proyectos.

Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI

BAI03 Gestionar la Identificación y Construcción de Soluciones




Establecer y mantener soluciones identificadas en línea con los requerimientos de la empresa que abarcan el diseño, desarrollo, compras/contratación y asociación con proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización de pruebas, gestión de requerimientos y mantenimiento de procesos de negocio, aplicaciones, datos/información, infraestructura y servicios.

Observaciones: Las soluciones se identifican de manera informal con base en la experiencia interna y en el conocimiento de la función de TI.

Se usan enfoques no estructurados para definir los requerimientos e identificar las soluciones tecnológicas.

Existen enfoques intuitivos para identificar soluciones de TI.

El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave.

Planes de Acción:


Definir el modelo de Gobierno de TI Implementar la gestión de riesgos de TI






Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados.

Observaciones: No existe una evaluación general de la capacidad de desempeño de TI.

Los responsables del negocio y la gerencia de TI están conscientes del impacto de no administrar el desempeño y la capacidad.

Se pueden diagnosticar problemas de desempeño y capacidad pero la realización de este diagnóstico depende de los conocimientos de personal clave del departamento de TI.

Los problemas de disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria y toma mucho tiempo diagnosticarlos y corregirlos.

Existe un limitado número de recursos de personas en el área de TI, los cuales están saturados sin tener disponibilidad de tiempo para la realización de este tipo de diagnóstico.

Planes de Acción:


BAI05 Gestionar la Facilitación del Cambio Organizativo




Maximizar la probabilidad de la implementación exitosa en toda la empresa del cambio organizativo de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio y de TI.

Observaciones: No existe un análisis de riesgos en la implementación de algún cambio organizativo.

Los que juegan algún papel relacionado con un cambio están facultados para hacerlo en base a sus propias habilidades.

El deseo de cambio de las partes interesadas es entendido de manera específica.

Se proporcionan o facilitan programas aislados de entrenamiento para los empleados en las diferentes áreas de la empresa, pero no hay un plan general de entrenamiento.

Planes de Acción:




BAI06 Gestionar los Cambios Área: Gestión Dominio: Construir, Adquirir e Implementar



Gestione todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación.

Observaciones: No existen políticas definidas de cambios a programas en la organización.

Existe un proceso de administración de cambio informal y la mayoría de los cambios siguen este enfoque; sin embargo, el proceso no está estructurado ni documentado.

Los cambios autorizados no son realizados de acuerdo a cronogramas respectivos siguiento procedimientos establecidos.

Planes de Acción:


BAI07 Gestionar la Aceptación del Cambio y la Transición




Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del lanzamiento, el paso a producción de procesos de negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una revisión post-implementación.

Observaciones: No existen políticas de control y gestión de cambios a programas en la organización

No existe consistencia sobre los enfoques de prueba y acreditación, no se basan en alguna metodología definida.

Los procesos de pruebas y aprobación son informales.

Planes de Acción:



BAI08 Gestionar el Conocimiento Área: Gestión Dominio: Construir, Adquirir e Implementar



Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar soporte a todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación, recopilación, organización, mantenimiento, uso y retirada de conocimiento.

Observaciones: No se cuenta con un registro de soporte de incidentes donde este se convierta en un historial que ayude al departamento de TI a solucionar problemas recurrentes y a identificar y anticipar posibles fallas.

Existe la percepción de que la documentación de procesos y ejecución diaria de actividades es necesaria, pero la misma se genera ocasionalmente e informalmente y no se registra en ninguna parte.

No existen herramientas o entorno donde se actualicen temas de conocimiento.

No se tiene fuentes de información identificada y clasificada, el conocimiento relevante actual no es compartido.

Planes de Acción:

Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar Herramientas

Automatizadas de TI

BAI09 Gestionar los Activos Área: Gestión Dominio: Construir, Adquirir e Implementar



Gestionar los activos de TI a través de su ciclo de vida para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento (acorde a los objetivos), que están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles. Administrar las licencias de software para asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso necesario para el negocio y que el software instalado cumple con los acuerdos de licencia.

Observaciones: No se realiza un análisis de si los activos de TI proveen niveles óptimos de disponibilidad y confiabilidad para el soporte de las necesidades del negocio.

No se tiene la información actualizada de los activos de TI.

No se cuenta con sistemas de reportes actualizados de los activos de TI

Planes de Acción:



BAI10 Gestionar la Configuración Área: Gestión Dominio: Construir, Adquirir e Implementar



Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades necesarias para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de referencia, la verificación y auditoría de la información de configuración y la actualización del repositorio de configuración.

Observaciones: No se han definido prácticas estandarizadas de trabajo.

Existe una dependencia implícita del conocimiento y experiencia de cierto personal del departamento de TI.

No existen herramientas para la administración de configuraciones.

La gerencia está consciente de la necesidad de controlar la configuración de TI y entiende los beneficios de mantener información completa y precisa sobre las configuraciones.

El contenido de la información de la configuración es limitado.

No se tiene establecido un procedimiento para la gestion de datos de configuración.

Planes de Acción:


Automatizadas de TI


5.4.3.4 DOMINIO: ENTREGAR, DAR SERVICIO Y SOPORTE

DSS01 Gestionar Operaciones Área: Gestión Dominio: Entrega, Servicio y Soporte



Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de TI tanto internos como externalizados, incluyendo la ejecución de procedimientos operativos estándar predefinidos y las actividades de monitorización requeridas.

Observaciones: Las operaciones de soporte de TI son informales e intuitivas.

Se puede evidenciar que existe una alta dependencia sobre las habilidades del departamento de TI.

Las instrucciones de qué hacer, cuándo y en qué orden, no están documentadas.

A manera de operación, no se revisan, ni generan informes de los eventos de logs de los servidores web, correo, aplicaciones.

Adicionalmente La seguridad física es un proceso informal, realizado por el área de sistemas.

Las metas de seguridad física no se basan en estándares formales y la gerencia no se asegura de que se cumplan los objetivos de seguridad

Los procedimientos de mantenimiento de instalaciones no están documentados y dependen del conocimiento de un grupo reducido del departamento de TI.

Planes de Acción:

Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar la gestión de continuidad

del negocio Implementar Herramientas

Automatizadas de TI


DSS02 Gestionar Peticiones e Incidentes de Servicio

Área: Gestión Dominio: Entrega, Servicio y Soporte



Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.

Observaciones: Actualmente no se maneja herramientas para la gestión de incidentes o requerimientos de usuarios que permita registrar una base de conocimientos centralizada teniendo procedimientos para comunicar, escalar y resolver incidentes.

A través del área de TI se trata de dar soporte y respuesta a los usuarios y resolver todo tipo de incidentes, existe un área específica que se dedica únicamente al soporte de usuarios, pero solo es una persona, la cual queda rebasada con las peticiones de soporte.

Se reconoce y se acepta la necesidad de contar con políticas y procedimientos para la administración de incidentes.

Planes de Acción:



Automatizadas de TI


DSS03 Gestionar Problemas Área: Gestión Dominio: Entrega, Servicio y Soporte



Identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo para prevenir incidentes recurrentes. Proporcionar recomendaciones de mejora.

Observaciones: No se tienen herramientas implementadas con la finalidad de que los métodos y los procedimientos sean documentados, comunicados y medidos para evaluar su efectividad.

La revisión de incidentes y los análisis de identificación y resolución de problemas son limitados e informales.

No existe registro y rastreo de problemas y de sus soluciones.

No se estandarizan procesos de escalamiento y resolución de problemas.

Planes de Acción:



Automatizadas de TI

DSS04 Gestionar la Continuidad Área: Gestión Dominio: Entrega, Servicio y Soporte



Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa.

Observaciones: No hay un plan de continuidad de TI documentado.

Las prácticas de continuidad en los servicios del departamento de TI, dependen de las habilidades y conocimientos de los integrantes de TI.

Planes de Acción:

Definir el plan estratégico de TI Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar la gestión de continuidad

del negocio


DSS05 Gestionar Servicios de Seguridad




Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.

Observaciones: Existe una política de sistema definida donde existen aspectos limitados de seguridad de información.

La habilitación sobre seguridad está disponible pero depende principalmente de la iniciativa de los integrantes del departamento de TI

Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza.

Los servicios de terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa.

La seguridad de TI es vista primordialmente como responsabilidad y disciplina de TI, y el negocio no ve la seguridad de TI como parte de su propia disciplina.

Planes de Acción:

Definir el modelo de Gobierno de TI Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI

DSS06 Gestionar Controles de Proceso de Negocio




Definir y mantener controles apropiados de proceso de negocio para asegurar que la información relacionada y procesada dentro de la organización o de forma externa satisface todos los requerimientos relevantes para el control de la información. Identificar los requisitos de control de la información y gestionar y operar los controles adecuados para asegurar que la información y su procesamiento satisfacen estos requerimientos.

Observaciones: No se tienen definidos políticas y procedimientos para gestionar los controles de los procesos del negocio.

Si bien los procesos están alineados con los procesos de negocio de la organización, estos no son gestionados para así poder ser mejorados y optimizados.

Las transacciones de negocio en su mayoría no registran logs de auditoría.

Planes de Acción:

Definir el plan estratégico de TI Definir políticas y procedimientos de TI Implementar la gestión de riesgos de TI Implementar Herramientas

Automatizadas de TI


5.4.3.5 DOMINIO: SUPERVISAR, EVALUAR Y VALORAR

MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad

Área: Gestión Dominio: Supervisar, Evaluar y Valorar



Recolectar, validar y evaluar métricas y objetivos de negocio, de TI y de procesos. Supervisar que los procesos se están realizando acorde al rendimiento acordado y conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y planificada.

Observaciones: No existen procesos y procedimientos estándares de recolección y evaluación del rendimiento y conformidad de los servicios que presta el departamento de TI.

La Gerencia de TI reconoce una necesidad de recolectar y evaluar información sobre los procesos de monitoreo.

El monitoreo por lo general se implanta de forma reactiva en algún incidente que ha ocasionado pérdida o exposición de la organización.

Planes de Acción:







Supervisar y evaluar de forma continua el entorno de control, incluyendo tanto autoevaluaciones como revisiones externas independientes. Facilitar a la Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas para la evaluación del control interno y las actividades de aseguramiento.

Observaciones: No existe un sistema de control interno ni de autoevaluación en el departamento de TI.

La gerencia reconoce la necesidad de administrar y asegurar el control de TI de forma regular.

La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los controles internos.

Planes de Acción:




MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos.




Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de TI como en los procesos de negocio dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los requisitos y se ha integrado el cumplimiento de TI en el cumplimiento de la empresa general.

Observaciones: Existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la necesidad se comunica.

No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles.

Se brinda entrenamiento informal respecto a los requerimientos externos y a los temas de cumplimiento de requisitos regulatorios.

La identificación y supervisión de los cambios de legislaciones y regulaciones lo realiza la Jefatura de TI.

Planes de Acción:




5.4.4 RESULTADOS OBTENIDOS DEL ANÁLISIS DEL NIVEL DE

MADUREZ EN EL DEPARTAMENTO DE TI

Luego de la aplicación de la entrevista y el cálculo respectivo, se ha obtenido un

nivel de madurez para cada proceso de TI, el cual se resume en la siguiente

Tabla:

Área Dominio Código Proceso Nivel de

Madurez

Gobierno Evaluar,

Orientar y

Supervisar

EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno

0

EDM02 Asegurar la Entrega de Beneficios 1

EDM03 Asegurar la Optimización del Riesgo 0

EDM04 Asegurar la Optimización de Recursos 1

EDM05 Asegurar la Transparencia hacia las Partes

Interesadas

1

Gestión Alinear,

Planificar y

Organizar

APO01 Gestionar el Marco de Gestión de TI 1

APO02 Gestionar la Estrategia 1

APO03 Gestionar la Arquitectura Empresarial 0

APO04 Gestionar la Innovación 1

APO05 Gestionar el Portafolio 1

APO06 Gestionar el Presupuesto y los Costes 1

APO07 Gestionar los Recursos Humanos 1

AP008 Gestionar las relaciones 1

AP009 Gestionar los acuerdos de servicio 0

APO10 Gestionar los Proveedores 1

APO11 Gestionar la Calidad 0

APO12 Gestionar el Riesgo 0

APO13 Gestionar la Seguridad 1

Construir,

Adquirir e

Implementar

BAI01 Gestión de Programas y Proyectos 1

BAI02 Gestionar la Definición de Requisitos 1

BAI03 Gestionar la Identificación y Construcción de

Soluciones

1

BAI04 Gestionar la Disponibilidad y la Capacidad 0

BAI05 Gestionar la Facilitación del Cambio

Organizativo

0

BAI06 Gestionar los Cambios 0

BAI07 Gestionar la Aceptación del Cambio y la

Transición

0


BAI08 Gestionar el Conocimiento 0

BAI09 Gestionar los Activos 1

BAI10 Gestionar la Configuración 0

Entrega,

Servicio y

Soporte

DSS01 Gestionar Operaciones 1

DSS02 Gestionar Peticiones e Incidentes de Servicio 1

DSS03 Gestionar Problemas 1

DSS04 Gestionar la Continuidad 0

DSS05 Gestionar Servicios de Seguridad 1

DSS06 Gestionar Controles de Proceso de Negocio 0

Supervisar,

Evaluar y

Valorar

MEA01 Supervisar, Evaluar y Valorar el Rendimiento y

la Conformidad

0

MEA02 Supervisar, Evaluar y Valorar el Sistema de

Control Interno

0

MEA03 Supervisar, Evaluar y Valorar la Conformidad

con los Requerimientos Externos

1

Cuadro N° 13: Resultado del nivel de madurez

A continuación se presenta un resumen del Nivel de madurez por dominios.

Área

Dominio

Cantidad

De

Procesos

Proceso

en

Nivel 0

Procesos

en

Nivel 1

Nivel 0

Ejecutado

por Dominio

(%)

Nivel 1

Ejecutado

por Dominio

(%)

Go

bie

rno


5

2

3

40.00%

60.00%

Ge

stió

n


13

4

9

30.77%

69.23%


10

6

4

60.00%

40.00%

Entrega, Servicio y Soporte

6

2

4

33.33%

66.67%


3

2

1

66.67%

33.33%

TOTAL

37

16

21

43.24%

56.76%

Cuadro N° 14: Resultado de la evaluación de los 37 Procesos de COBIT


En consecuencia, los niveles más altos están en “Alinear, Planificar y

Organizar”, mientras que los niveles más bajos están en los dominios de:

”Supervisar, Evaluar y Valorar” y “Construir, Adquirir e Implementar”

Finalmente, se clasifican y ordenan los procedimientos relevantes del

departamento de TI (Cuadro N° 3 anterior), de acuerdo a los 5 dominios de

COBIT 5. Luego estos son relacionados con los resultados de la evaluación de

procesos (Cuadro N° 13 anterior), dando como resultado el Cuadro N° 14, el

cual expone el Nivel de Madurez evaluado para cada procedimiento relevante

del departamento de TI relacionado con el proceso y dominio correspondiente a

COBIT 5.


Área

Dominio

Código

Proceso

ID

Procedimientos relevantes del departamento de TI

Nivel de Madurez

Evaluado

Gobierno Evaluar, Orientar y

Supervisar

EDM02 Asegurar la Entrega de

Beneficios

PTI16 Gestión de equipos y personal para época de acopio de

materia prima

1

Gestión Alinear, Planificar y

Organizar

APO10 Gestionar los Proveedores PTI17 Gestión de servicios externos 1

Construir, Adquirir

e Implementar

BAI02 Gestionar la Definición de

Requisitos

PTI1 Adquisición de equipos 1

BAI03 Gestionar la Identificación y

Construcción de Soluciones

PTI8 Nuevos desarrollos de software 1

PTI9 Modificaciones de software

BAI06 Gestionar los Cambios PTI10 Actualizaciones de software 0

BAI09 Gestionar los Activos PTI3 Mantenimiento de equipos 1

BAI10 Gestionar la Configuración PTI11 Gestión de Bases de datos 0

Entrega, Servicio y

Soporte

DSS01 Gestionar Operaciones PTI2 Instalación de equipos 1

DSS02 Gestionar Peticiones e

Incidentes de Servicio

PTI12 Soporte a usuarios locales 1

PTI13 Soporte a usuarios remotos

DSS05 Gestionar Servicios de

Seguridad

PTI4 Respaldo de Información (Backup) 1

PTI5 Administración de Cuentas de Usuarios

PTI6 Administración del acceso a Internet

PTI7 Acceso a los archivos y documentos digitales

PTI14 Administración de códigos para la central telefónica

PTI15 Administración de uso de Dispositivos de almacenamientos

Supervisar, Evaluar

y Valorar

MEA03 Supervisar, Evaluar y Valorar

la Conformidad con los

Requerimientos Externos

PTI17 Verificar las regulaciones externas respecto a solicitudes de

nuevos desarrollos o modificaciones en el software

1

Cuadro N° 15: Procedimientos relevante del Departamento de TI vs. El Nivel de madurez de los procesos analizados


5.4.5 CONCLUSIONES Y RECOMENDACIONES SOBRE LOS

RESULTADOS OBTENIDOS DEL ANÁLISIS DEL NIVEL DE

MADUREZ EN EL DEPARTAMENTO DE TI

En el Cuadro N°15 anteriormente expuesto, se pueden observar los

procedimientos relevantes del departamento TI asociados a los procesos que

les corresponde, teniendo la mayoría un grado de madurez “Nivel 1” según el

análisis de madurez realizado anteriormente (Cuadro N°13), lo que nos indica,

que estos procedimientos cumplen con su objetivo, pero sin embargo estos no

se encuentran bien definidos, ni documentados y menos gestionados para así

poder ser optimizados.

Con estos resultados se puede inferir que el departamento de TI de la empresa

Granos, tiene una urgente necesidad de implementar y mejorar procesos,

procedimientos y políticas enmarcados en algún estándar o marco de trabajo,

que ayude a gestionar todos los recursos que maneja. También se puede inferir

que el departamento de TI, está próximo a pasar del estado de Madurez “Nivel

1 – Proceso Ejecutado”, al estado “Nivel 2 – Proceso Gestionado” (ver Cuadro

N°14).

Sin embargo existen también procesos que ya han sido definidos e

identificados, pero que todavía están siendo ejecutados de manera intuitiva y

reactiva (ver Cuadro N°13).

Con una mejora de procesos se buscará incrementar estos grados de madurez,

de manera tal de ayudar a los procesos a alcanzar su propósito dentro de los

lineamientos del departamento de TI y del negocio en sí.

Estos resultados justifican la necesidad de contar con un manual de mejora de

procesos basado en COBIT, que permita incrementar los grados de madurez,

para elevar la valoración de los niveles actuales de servicio, a los niveles

esperados.


CAPÍTULO VI: DISEÑO DEL MANUAL DE MEJORA DE PROCESOS

El manual se elabora dentro del marco de referencia que propone COBIT 5,

para incrementar la calidad y el nivel de madurez de los procesos, orientados a

contribuir al logro de los objetivos del negocio.

6.1 DEFINICIÓN DE REQUERIMIENTOS DE MEJORA DE PROCESOS CON

COBIT

Los requerimientos de mejora deberán explicar, que se requiere cumplir para

poder definir, administrar y medir el proceso. Cabe resaltar que no es posible

saltar a un estado de madurez superior, sino se cumplen con los requerimientos

del estado de madurez preliminar. En otras palabras para poder optimizar un

proceso de TI, éste debe estar completamente definido, y correctamente

administrado y medido.

Dentro de las guías de administración de COBIT se ha podido encontrar una

referencia importante: El Nivel 2 conocido como “Proceso Gestionado”, busca

planificar y supervisar el proceso, el Nivel 3 conocido como “Proceso

Establecido”, busca identificar y documentar el proceso, así como todos sus

componentes. El Nivel 4 conocido como “Proceso Predecible”, busca evaluar el

proceso, es decir medirlo, y verificar el cumplimiento de los objetivos del

proceso y el Nivel 5 conocido como “Proceso Optimizado” que busca Innovar y

optimizar los procesos.

Este razonamiento llevará a inferir que para incrementar los grados de madurez

se deberá cumplir con los siguientes requerimientos de alto nivel:

(2) Gestionado: Planificación y Supervisión

(3) Establecido: Identificación y documentación

(4) Predecible: Evaluación y Cumplimiento

(5) Optimizado: Las mejores prácticas


El “Nivel 5: Optimizado”, no será considerado porque todavía no es objetivo de

la Gerencia General, la razón radica en que debido a los resultados de las

evaluaciones de procesos anteriormente expuestos, la Gerencia es consciente

de que falta mucho por trabajar los procesos en los niveles inferiores y además

no se cuenta con la suficiente cantidad de recursos disponibles para apoyar la

implantación de procesos optimizados.

6.1.1 IDENTIFICACIÓN Y DOCUMENTACIÓN

La identificación y documentación consiste principalmente en entender el

proceso y formalizarlo a través de documentos escritos que definan políticas y

procedimientos que garanticen que el proceso cumpla su objetivo.

Identificación

Para cumplir con la identificación se partirá de una de las premisas de la

definición de procesos, que consiste en las preguntas básicas de “qué, quién,

donde, cuando, cómo y por qué”43 Estas premisas básicas cubren todos los

campos que se buscan dentro de la definición de procesos y se describen a

continuación:

Qué: La definición del objetivo principal del proceso, es decir, el proceso

de transformación que convierte una entrada en una salida o resultado.

Quién: La o las personas que están involucradas con el proceso, los

dueños del proceso, los responsables del proceso, y los clientes del

proceso. También define los roles que tiene cada ente dentro de la

ejecución del proceso.

Dónde: En que locación se ejecuta el proceso, si es global, o solamente

en ciertos lugares, puede ser local, regional, o global.

43 COBIT STEERING COMMITTEE, Audit Guidelines. 3ra. Edición.


Cuándo: En qué momento se ejecuta el proceso, si es continuo o

discreto, cuándo se activa y bajo qué condiciones.

Cómo: Como el proceso transforma la entrada en salida, es decir, las

actividades y tareas que conforman el proceso. Aquí se mencionan los

pasos a seguir para que el proceso cumpla su objetivo. Adicionalmente el

cómo define las políticas y procedimientos que se deben seguir para

asegurar que el proceso sea exitoso.

Por qué: Todo proceso satisface un requerimiento de negocio, entonces

el proceso genera varios productos o entregables que son requeridos por

el negocio. El por qué identifica los resultados que el proceso debe

generar para comprobar que cumpla su propósito.

Documentación

La documentación consiste en plasmar el proceso de identificación en

documentos formales, bajo plantillas estandarizadas todos los componentes de

un proceso. La identificación permite entender el proceso, pero es la

documentación la que define formalmente al proceso. Una de las principales

ventajas de la documentación es que independiza a los procesos de los

individuos, ya que el proceso que está dentro de la mente de una persona, pasa

a ser grabada en un documento que puede ser accedido por varias personas.

De esta manera se logra dar vida al proceso y posicionarlo dentro del

departamento como un elemento que utiliza recursos y satisface criterios de

información. A continuación se han definido las características que debe tener

la documentación:

Estándar: El formato de documentación debe ser el mismo para cada

proceso, de tal manera que facilite su entendimiento.

Sencilla: La documentación debe ser capaz de ser entendida por

cualquier miembro de la organización en forma rápida y sencilla. La


principal premisa es que cualquier persona al acceder a la

documentación entienda “qué, quién, donde, cuando, cómo y por qué”.

Práctica: La documentación debe ser aplicable a la realidad de la

organización; no quedar dentro del campo de lo teórico. La

documentación debe convertirse en un manual del proceso que permita

transferir el conocimiento y que éste sea aplicado.

Disponible: La documentación debe ser asequible para las personas

que están relacionadas con el proceso. La documentación debe ser

comunicada a los entes que intervienen para que tengan una visión más

amplia del objetivo del proceso.

6.1.2 EVALUACIÓN Y CUMPLIMIENTO

Para que un proceso sea administrado y medible, debe cumplir con sus

actividades y tareas, y debe proporcionar medidas de su desempeño que

permitan tener una retroalimentación y mejora continua.

Evaluación

Las métricas son parte de las prácticas de gobierno y administración de COBIT,

persiguen identificar qué tan lejos llegó el proceso en alcanzar sus objetivos, es

decir, mide la efectividad de un proceso para cumplir con los requerimientos del

negocio.

Entonces la implementación y consideración de las métricas, permitirán realizar

una evaluación de los procesos. En consecuencia se procederá a evaluar las:

Métricas relacionadas con las metas de TI.

Métricas relacionadas con las metas de Proceso.


Cumplimiento

El cumplimiento consiste en la tarea de asegurar que el proceso llegue a su

objetivo, si no se asegura el cumplimiento, las medidas darán resultados

negativos. Es el cumplimiento el que permite que cada proceso pueda ser

administrado.

El elemento clave para lograr el cumplimiento es el control a través de las

prácticas de gobierno y gestión propuestas por COBIT 5. Los controles son los

componentes que guían y educan al proceso para que no se desvíe de su

objetivo, para que siga la ruta correcta y pueda corregir cualquier anomalía.

6.2 DISEÑO DEL MANUAL

Para el diseño del manual de mejora, es necesario considerar el objetivo clave

que es aplicar el Marco de Referencia de COBIT 5, que permita rediseñar los

procesos.

6.2.1 ESTRUCTURA DEL MANUAL

Un manual se define como un conjunto o secuencia de guías y procedimientos

a seguir para asegurar la ejecución correcta de un objetivo planteado. Entonces

el manual será la guía que se deberá aplicar para el rediseño de un proceso.

El manual debe partir de la implantación de una identificación, documentación,

evaluación y cumplimiento del proceso. La identificación y documentación serán

tratadas en un solo componente llamado definición. Esto se debe a que al

momento de definir un proceso es necesario identificarlo, y este resultado debe

ser documentado en formularios que plasmen el proceso.

Entonces el manual de mejora tendrá los siguientes procedimientos que se

muestran a continuación en la Figura N°20.


Figura N° 20: Estructura del Manual44

Cada uno de estos tres componentes será diseñado en base a los

requerimientos de mejora y aplicando los conceptos del Marco de referencia de

COBIT 5. Con esta estructura lo que se busca es satisfacer los requerimientos

necesarios para elevar el grado de madurez de los procesos de TI.

6.2.2 DEFINICIÓN DEL PROCESO

La definición del proceso es la actividad que involucra: identificación y

documentación del proceso y sus componentes.

Dentro de la identificación del proceso se contestarán las preguntas “qué, por

qué, quién, donde, cuándo y cómo” que son las premisas básicas del proceso.

A continuación se presenta la descripción de las actividades de este

procedimiento y así también los formularios que son necesarios para su

correcta realización.

44 Fuente: Elaboración propia

DEFINICIÓN

• Definición

• Objetivos

• Roles

• Ubicación

• Tiempo

• Diagrama de flujo

• Actividades

EVALUACIÓN

• Métricas relacionadas con las metas de TI.

• Métricas relacionadas con las metas de Proceso.

CUMPLIMIENTO

• Prácticas de gobierno y gestión.


DESCRIPCIÓN DEL PROCEDIMIENTO

FECHA DE AUTORIZACIÓN

HOJA

DE

01 NOV 2016 1 2

PROCEDIMIENTO:

DEFINICIÓN DEL PROCESO

CÓDIGO

DEFPRO-01

ÁREA

DEPARTAMENTO DE TI

DIRECCIÓN:

DIRECCIÓN DE TI

RESPONSABLE

NRO. ACT.

DESCRIPCIÓN DE ACTIVIDADES

FORMATOS O DOCUMENTOS

Departamento de TI

1 Área del departamento de TI, realiza una solicitud de Mejora de Proceso.

Existe un “Formulario Nro. 1” que tiene que ser llenado con todos los datos e información necesaria del proceso y solicitante. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.1” que puede utilizar como guía.

Formulario N° 1: Solicitud de Mejora de Proceso

Cuadro Nro. 16: Instructivo de llenado del Formulario Nro.1

Dirección de TI

2

Se recibe solicitud para mejorar el grado de madurez de un proceso de cualquier área del departamento de TI de la empresa.


Dirección de TI

3

Se analiza la solicitud para ser aprobada

Dirección de TI

4

NO SE APROBÓ LA SOLICITUD Se registra y archiva la solicitud


Departamento

de TI

5

SI SE APROBÓ LA SOLICITUD Describir y documentar todos los datos relevantes del proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 2”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.2” que puede utilizar como guía.

Formulario N°2: Definición de procesos.


Departamento

de TI

6

Realizar un diagrama de flujo del proceso que se quiere analizar para que haya un mejor entendimiento del mismo. Se tiene que llenar el: “Formulario Nro. 3”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.3” que puede utilizar como guía. Para realizar el diagrama de flujo, existe una simbología definida que la puede ver en el Cuadro Nro. 18

Formulario N°3: Diagrama de Flujo

Cuadro Nro. 19: Instructivo de llenado del Formulario Nro. 3

Cuadro Nro. 18: Simbología del diagrama de flujo

Departamento

de TI

7

Describir el inventario de actividades propuesto por COBIT referente al proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 4”, Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.4” que puede utilizar como guía.

Formulario N°4: Inventario de Actividades.

Cuadro Nro. 20: Instructivo de llenado del Formulario Nro. 4




HOJA

DE

01 NOV 2016 2 2

PROCEDIMIENTO:


CÓDIGO

DEFPRO-01

ÁREA

DEPARTAMENTO DE TI

DIRECCIÓN:

DIRECCIÓN DE TI

RESPONSABLE

NRO. ACT.



Departamento de TI

8

Entrega toda la documentación obtenida durante las etapas de definición del proceso


Formulario N° 2: Definición de procesos.

Formulario N° 3: Diagrama de Flujo

Formulario N° 4: Inventario de Actividades.

Dirección de TI

9

Recepciona y archiva todos los documentos generados en esta etapa. FIN DEL PROCEDIMIENTO


Formulario N° 2: Definición de procesos.


Formulario N° 4: Inventario de Actividades.

ELABORÓ

ÁREA RESPONSABLE

AUTORIZÓ

Departamento de TI

----------------------------------------- Responsable:

Dirección de TI

-----------------------------------------Responsable:

Gerencia General

-----------------------------------------Responsable:

Formulario de Procedimiento N° 1: Definición del Proceso


DIAGRAMA DE FLUJO DEL PROCEDIMIENTO


HOJA

DE

01 NOV 2016 1 1

PROCEDIMIENTO:


CÓDIGO

DEFPRO-01

ÁREA

DEPARTAMENTO DE TI

DIRECCIÓN:

DIRECCIÓN DE TI

DEPARTAMENTO DE TI

DIRECCIÓN DE TI

INICIO

Área del departamento de TI, realiza una solicitud de Mejora de Proceso

Se analiza la solicitud para ser aprobada

FIN

Solicitud

Aprobada?

Formulario N°1: Solicitud de Mejora de Proceso

Se registra y archiva la solicitud

Describir y documentar todos los datos relevantes del proceso que se quiere

analizar.

Formulario N°2: Definición del Proceso.

Realizar un diagrama de flujo del proceso que se quiere analizar para que haya un mejor entendimiento del

mismo

Formulario N°3: Diagrama de Flujo

Describir el inventario de actividades propuesto por

COBIT referente al proceso que se quiere analizar

Formulario N°4: Inventario de Actividades.

NO

SI

COBIT5-Procesos Catalizadores

(Inicia en Pág. 25)

Recibe solicitud para mejorar el grado de madurez de un proceso del departamento de

TI de la empresa.

Formulario N°1:

Solicitud de

Mejora de Proceso

Recepciona y archiva todos los

documentos generados en esta

etapa.

Formulario N°1Formulario N°2Formulario N°3Formulario N°4

Formulario de Procedimiento N° 2: Diagrama de Flujo de la Definición del Proceso


6.2.2.1 DEFINICIÓN

FORMULARIO NRO. 1: Solicitud de Mejora de Proceso Fecha [1] Datos Solicitante Nombre [2] Área de TI [3] Nombre del Proceso:

[4]

Motivos de la solicitud

[5]

Que beneficios va a traer para el negocio [6]

Firma del solicitante [7] Formulario N° 1: Solicitud de Mejora de Proceso

Instructivo de llenado del Formulario N° 1: Solicitud de Mejora de Proceso

Campo Variable Descripción [1] Fecha Fecha en que se está llenando del formulario, anotar: Día, mes

y Año.

[2] Nombre Nombre de la persona que está solicitando la mejora del proceso

[3] Área TI Nombre del Área del departamento de TI que está solicitando la mejora del proceso.

[4] Nombre del Proceso Es el nombre del proceso que se solicita mejorar

[5] Motivos de la solicitud

Describir de manera clara y puntual cuales son los principales motivos de solicitar la mejora del proceso

[6] Que beneficios va a traer para el negocio

Describir cual va a hacer el impacto en el negocio al mejorar el nivel de madurez del proceso.

[7] Firma del solicitante Firma del solicitante

Cuadro N° 16: Instructivo de llenado del Formulario Nro. 1


FORMULARIO NRO. 2: Definición del Proceso Fecha [1] DEFINICIÓN (Qué) Código [2] Dominio [3] Nombre del Proceso:

[4]

OBJETIVOS (Por qué)

[5]

Requerimientos de negocio a alcanzar

[6]

ROLES (Quién)

Dueño(s) [7] Responsable(s) [8] Controlador(es) [9] Cliente(s) [10] Proveedor(es) [11] UBICACIÓN (Donde)

Ubicación

[12]

TIEMPO (Cuando)

Ejecución [13] Frecuencia [14] RECURSOS (Cómo)

Recursos de TI que se van a utilizar:

Gente [15] Instalaciones [15] Aplicaciones [15] Datos [15] Tecnología [15] [15]

Formulario N° 2: Definición de procesos


Instructivo de llenado del Formulario N°2: Definición del Proceso

Campo Variable Descripción [1] Fecha Fecha en que se está llenando del formulario, anotar: Día, mes y Año.

[2] Código Está compuesto por un prefijo de 3 caracteres que indica el dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”

[3] Dominio Es el nombre del dominio de COBIT al cual pertenece el proceso. Puede ser:




Entregar, dar Servicio y Soporte


[4] Nombre del Proceso

Es el nombre del proceso en sí a evaluar(Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[5] OBJETIVOS (Por qué)

El “por qué” persigue definir la razón de la existencia del proceso, en otras palabras, la razón de ser del proceso (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[6] Requerimientos de negocio a alcanzar

Se deberá listar los requerimientos de negocio que se busca satisfacer proceso (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[7] Dueño(s) Es el cargo responsable de la ejecución del proceso. Es la persona que interactúa directamente con el proceso.

[8] Responsable(s) Se encarga de supervisar y velar por el cumplimiento de los objetivos del proceso. Todas las actividades de evaluación y cumplimiento del proceso, deben ser revisadas por el responsable. El responsable es quien responde ante la gerencia del éxito o fracaso del proceso.

[9] Controlador(es) Se encarga de monitorear que el proceso aporte a los criterios de información de COBIT y satisfaga los requerimientos de negocio. Aprueba cualquier cambio al proceso y verifica que las medidas de éxito del proceso se cumplan.

[10] Cliente(s) Son las personas o grupos que reciben un producto o servicio del proceso. Estos pueden ser del departamento de TI, o de un departamento distinto dentro de la organización.

[11] Proveedor(es) Son las personas o grupos que entregan un insumo al proceso.

[12] Ubicación Se refiere a las locaciones físicas en donde el proceso está presente.

[13] Ejecución Recurrente (que se repite cada período de tiempo), o bajo demanda (que es activado por un evento)

[14] Frecuencia El período de tiempo en que se repite. Puede ser en horas, días, semanas o meses. (Sólo se aplica cuando es recurrente; si es bajo demanda, se deberá insertar la palabra NO APLICA)

[15] Recursos de TI que se van a utilizar

Los recursos de TI que el proceso requiere para ser ejecutado. Marca con una X los recursos que se van a utilizar



Dentro del “cómo”, se definen las actividades, entradas, salidas del proceso.

Las actividades deben seguir un orden para que el proceso sea ordenado.

COBIT exige una documentación que permita entender como el proceso es

ejecutado, como los pasos se dan dentro del proceso y quienes los ejecutan, es

decir los roles.

Para cumplir con este objetivo se definirán dos componentes adicionales:

- El diagrama de flujo

- El Inventario de Actividades


6.2.2.2 DIAGRAMA DE FLUJO

El diagrama de flujo muestra la secuencia y la inteligencia del proceso,

enlazando las actividades, procedimientos, entradas y salidas que involucran al

proceso. A continuación se detalla los componentes que debe tener un

diagrama de flujo estándar:

Símbolo Nombre Explicación

Línea de Flujo Muestra la dirección y sentido del flujo del proceso, conectando los símbolos

Terminador

(Comienzo o final de

procesos)

En su interior situamos materiales, información o acciones para comenzar el proceso o para mostrar el resultado en el final del mismo.

Proceso

(actividad)

Representa la realización de una operación o actividad relativas a un procedimiento y se anota dentro del símbolo la descripción de la acción que se realiza en este paso.

Conector de hoja Este símbolo se utiliza con la finalidad de evitar las hojas de gran tamaño, el cual muestra al finalizar la hoja, hacia donde va y al principio de la siguiente hoja de donde viene; dentro del símbolo se anotara la letra “A” para el primer conector y se continuará con la secuencia de las letras del alfabeto.

Decisión

(Decisión/Bifurcación)

Se emplea cuando en la actividad se requiere preguntar si algo procede o no, identificando dos o más alternativas de solución. Para fines de mayor claridad y entendimiento, se describirá brevemente en el centro del símbolo lo que va a suceder, cerrándose la descripción con el signo de interrogación.

Datos

Entrada/Salida

(Información de

apoyo)

Situamos en su interior la información necesaria para alimentar una actividad (datos para realizarla)

Documento Se utiliza para hacer referencia a la generación o consulta de un documento específico en un punto del proceso.

Cuadro N° 18: Simbología del diagrama de flujo


A continuación se expone el formulario sobre el cual tiene que ir el diagrama de

flujo.

FORMULARIO NRO. 3: Diagrama de Flujos Proceso: [1]

Creado por: [2] Revisado por: [3] Aprobado por: [4]

Fecha última aprobación: [5] Fecha próxima revisión: [6]

[7]


Instructivo de llenado del Formulario N°3: Diagrama de Flujos

Campo Variable Descripción [1] Proceso Es el nombre del proceso en sí a evaluar

[2] Creado por Cargo o grupo responsable de la creación del diagrama

[3] Revisado por Cargo o grupo responsable de la revisión del diagrama

[4] Aprobado por Cargo o grupo responsable de la aprobación del diagrama

[5] Fecha última aprobación

Fecha de la última aprobación

[6] Fecha próxima revisión Fecha de la próxima aprobación

[7] Diagrama Diagrama de flujo que describe el proceso



6.2.2.3 INVENTARIO DE ACTIVIDADES

El inventario de actividades es una matriz que muestra varios elementos que

deben ser considerados dentro de la actividad.

Las entradas y salidas de COBIT 5 son los productos/artefactos de trabajo de

los procesos que se consideran necesarios para apoyar la operación del

proceso. Posibilitan las decisiones clave, proveen un registro y traza de

auditoría de las actividades de los procesos y posibilitan el seguimiento en caso

de incidente. Se definen al nivel de práctica clave de gobierno/gestión, pueden

incluir algunos productos de trabajo utilizados en el proceso y, a menudo, son

entradas esenciales para otros procesos.

Las entradas y salidas ilustrativas de COBIT 5 no deben considerarse como una

lista exhaustiva ya que se podrían definir flujos adicionales de información,

dependiendo del entorno particular y marco de procesos de una compañía

FORMULARIO NRO. 4: Inventario de Actividades

Fecha: [1] Código [2] Dominio [3] Nombre del Proceso

[4]

Práctica de Gobierno y Gestión

Nombre Actividad Responsable Entradas Salidas

[5] [6] [7] [8] [9]

Formulario N° 4: Inventario de Actividades


Instructivo de llenado del Formulario N°4: Inventario de Actividades

Campo Variable Descripción [1] Fecha Fecha en que se está llenando del formulario, anotar:

Día, mes y Año.

[2] Código Está compuesto por un prefijo de 3 caracteres que indica el dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”

[3] Dominio Es el nombre del dominio de COBIT al cual pertenece el proceso. Puede ser: Evaluar, Orientar y Supervisar Alinear, Planificar y Organizar Construir, Adquirir e Implementar Entregar, dar Servicio y Soporte Supervisar, Evaluar y Valorar

[4] Nombre del Proceso Es el nombre del proceso en sí a evaluar

[5] Práctica de Gobierno y Gestión

Nombre de la práctica de gobierno y gestión correspondiente al proceso y a la práctica de gobierno y gestión que se está realizando. (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[6] Nombre Actividad Descripción más detalladas que las prácticas (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[7] Responsable Cargo o grupo responsable de la ejecución de la actividad

[8] Entradas Son los productos/artefactos de trabajo de entrada de los procesos, que se consideran necesarios para apoyar la operación del proceso

[9] Salidas Son los productos/artefactos de trabajo de salida de los procesos, que se consideran necesarios para apoyar la operación del proceso



6.2.3 EVALUACIÓN DEL PROCESO

Luego de que el proceso ha sido definido y documentado, la evaluación del

proceso es el primer paso para llegar al siguiente nivel de madurez; que es

tener un proceso administrado y medible. Un proceso puede ser administrado

cuando es posible monitorear y medir el desempeño del mismo.



HOJA

DE

01 NOV 2016 1 2

PROCEDIMIENTO:

EVALUACIÓN DEL PROCESO

CÓDIGO

EVAPRO-01

ÁREA

DEPARTAMENTO DE TI

DIRECCIÓN:

DIRECCIÓN DE TI

RESPONSABLE

NRO. ACT.



Departamento de TI

1

Describir y documentar todos los datos relevantes del proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 5”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.5” que puede utilizar como guía.

Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI)


Departamento de TI

2

Sacar las Metas y Métricas correspondiente al proceso en estudio, del documento oficial de: COBIT5-Procesos Catalizadores (inicia en pág. 25). Copiar al Formulario Nro5 solo las Metas y Métricas de TI.

Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI).

COBIT5-Procesos Catalizadores o COBIT5-Enabling

Departamento de TI

3 Calcular el Valor Máximo Esperado por cada proceso, si es que así lo requiere. Calcular el Valor Real por cada proceso. Calcular el Indicador de Efectividad aplicando la siguiente fórmula, cuando así se requiera. Indicador Efectividad = ((ValorReal / ValorMáximoEsperado) * 100)

Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI).




HOJA

DE

01 NOV 2016 2 2

PROCEDIMIENTO:


CÓDIGO

EVAPRO-01

ÁREA

DEPARTAMENTO DE TI

DIRECCIÓN:

DIRECCIÓN DE TI

RESPONSABLE

NRO. ACT.



Departamento de TI

4

Describir y documentan todos los datos relevantes del proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 6”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.6” que puede utilizar como guía.

Formulario N°6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso)


Departamento de TI

5

Sacar las Metas y Métricas correspondiente al proceso en estudio, del documento oficial de: COBIT5-Procesos Catalizadores (inicia en pág. 25). Copiar al Formulario Nro6 solo las Metas y Métricas de Proceso.

Formulario N°6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso).


Departamento de TI

6 Calcular el Valor Máximo Esperado por cada proceso, si es que así lo requiere. Calcular el Valor Real por cada proceso. Calcular el Indicador de Efectividad aplicando la siguiente fórmula, cuando así se requiera. Indicador Efectividad = ((ValorReal / ValorMáximoEsperado) * 100)

Formulario N°6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso).

Dirección de TI

7

Recepcionar y archivar los documentos generados en esta etapa. FIN DEL PROCEDIMIENTO

Formulario N°5

Formulario N°6

ELABORÓ

ÁREA RESPONSABLE

AUTORIZÓ

Departamento de TI

----------------------------------------- Responsable:

Dirección de TI

-----------------------------------------Responsable:

Gerencia General

-----------------------------------------Responsable:

Formulario de Procedimiento N° 3: Evaluación del Proceso




HOJA

DE

01 NOV 2016 1 1

PROCEDIMIENTO:


CÓDIGO

EVAPRO-01

ÁREA

DEPARTAMENTO DE TI

DIRECCIÓN:

DIRECCIÓN DE TI

DEPARTAMENTO DE TI

DIRECCIÒN DE TI

INICIO

Describir y documentar todos los datos relevantes del proceso que se

quiere analizar.

FIN


Recepcionar y archivar los documentos generados en esta

etapa.

Copiar al Formulario Nro5 solo las Metas y Métricas de TI


Calcular el Valor Máximo, Valor Real y el Indicador de Efectividad,

cuando se lo requiera


COBIT5-Procesos

Catalizadores


Indicador Efectividad

= ((ValorReal /

ValorMáximoEspera

do) * 100)


quiere analizar

Formulario N°6: Evaluación de Proceso (Métricas relacionada a las metas del Proceso)

Copiar al Formulario Nro6 solo las Metas y Métricas de

Proceso


Calcular el Valor Máximo, Valor Real y el Indicador de Efectividad,

cuando se lo requiera


COBIT5-Procesos

Catalizadores


Indicador Efectividad

= ((ValorReal /

ValorMáximoEspera

do) * 100)

Formulario N°5: Formulario N°6:

Formulario de Procedimiento N° 4: Diagrama de Flujo de la Evaluación del Proceso


6.2.3.1 MÉTRICAS RELACIONADAS A LAS METAS DE TI

Formulario N° 5: Evaluación de Proceso (Métricas relacionada a la metas de TI)

FORMULARIO NRO. 5: Evaluación del Proceso (Métricas relacionada a las metas de TI)

Código Proceso [1]

Nombre del Proceso

[2]

Descripción del Proceso

[3]

Fecha Última Actualización [4]

Elaborado por [5]

Revisado por [6]

Metas de TI Métrica Valor Máximo Esperado Valor Real Indicador Efectividad (%) Fecha

[7] [8] [9] [10] [11] [12]


Instructivo de llenado del Formulario N°5: Evaluación de Proceso (Métricas relacionada a la metas de TI)

Campo Variable Descripción

[1] Código Proceso Está compuesto por un prefijo de 3 caracteres que indica el dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”

[2] Nombre del Proceso Es el nombre del proceso en sí a evaluar

[3] Descripción del Proceso

Visión general de lo que hace el proceso y una visión a alto nivel de cómo el proceso lleva a cabo su propósito (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[4] Fecha Última Actualización

Fecha de la última actualización al documento

[5] Elaborado por Es el cargo responsable de la elaboración del proceso. Es la persona que interactúa directamente con el proceso.

[6] Revisado por Es el cargo que revisa y gestiona el proceso

[7] Metas de TI Nombre de la meta de TI (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[8] Métrica Descripción de la métricas relacionadas con las metas de TI (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[9] Valor Máximo Esperado

El valor máximo que se espera obtener como resultado de la aplicación de la métrica.

[10] Valor Real El valor real que se obtiene como resultado de la aplicación de la métrica.

[11] Indicador Efectividad (%)

El Indicador de efectividad se obtiene aplicando la siguiente fórmula en las métricas que corresponda. Indicador Efectividad = ((ValorReal / ValorMáximoEsperado) * 100)

[12] Fecha Fecha de realización de la métrica, indicar: Día, mes y año



6.2.3.2 MÉTRICAS RELACIONADAS A LAS METAS DEL PROCESO

FORMULARIO NRO. 6: Evaluación del Proceso (Métricas relacionada a las metas del Proceso)

Código Proceso [1]

Nombre del Proceso

[2]


[3]

Fecha Última Actualización [4]

Elaborado por [5]

Revisado por [6]

Metas del Proceso Métrica Valor Máximo Esperado Valor Real Indicador Efectividad Fecha

[7] [8] [9] [10] [11] [12]

Formulario N° 6: Evaluación de Proceso (Métricas relacionada a la metas de Proceso)


Instructivo de llenado del Formulario N°6: Evaluación de Proceso (Métricas relacionada a la metas del proceso)

Campo Variable Descripción

[1] Código Proceso Está compuesto por un prefijo de 3 caracteres que indica el dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”

[2] Nombre del Proceso Es el nombre del proceso en sí a evaluar (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[3] Descripción del Proceso

Visión general de lo que hace el proceso y una visión a alto nivel de cómo el proceso lleva a cabo su propósito (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)


Fecha de la última actualización al documento


[6] Revisado por Es el cargo que revisa y gestiona el proceso

[7] Metas de Proceso Nombre de la meta de proceso (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[8] Métrica Descripción de la métricas relacionadas con las metas de proceso (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[9] Valor Esperado El valor que se espera obtener del servicio o tarea

[10] Valor Real El valor que en realidad se obtuvo del servicio o tarea

[11] Indicador Efectividad El Indicador de efectividad se obtiene aplicando la siguiente fórmula en las métricas que corresponda. Indicador Efectividad = ((ValorReal / ValorMáximoEsperado) * 100)

[12] Fecha Fecha de realización de la métrica, indicar: Día, mes y año



6.2.4 CUMPLIMIENTO DEL PROCESO

El cumplimiento del proceso es la sección en donde se confirma y valida que el

control, logre su cometido y define una filosofía de control sobre el proceso de

TI. COBIT lo hace a través de un componente clave:

· Prácticas de Gestión y de Gobierno

La validación que estos componentes estén siendo aplicados y sean una

realidad dentro del proceso, indica que el proceso está realizando lo que debe

hacer, es decir, que cumple con el cometido para el que fue creado. A

continuación se indican los pasos a seguir para verificar el cumplimiento de

cada componente.




HOJA

DE

01 NOV 2016 1 1

PROCEDIMIENTO:

CUMPLIMIENTO DEL PROCESO

CÓDIGO

CUMPRO-01

ÁREA

DEPARTAMENTO DE TI

DIRECCIÓN:

DIRECCIÓN DE TI

RESPONSABLE

NRO. ACT.



Departamento de TI

1

Describir y documentan todos los datos relevantes del proceso que se quiere analizar. Se tiene que llenar el: “Formulario Nro. 7”. Para llenar el formulario existe un “Instructivo de llenado del Formulario Nro.7” que puede utilizar como guía.

Formulario N°7: Cumplimiento del Proceso


Departamento de TI

2

Sacar la Prácticas de Gestión y Gobierno correspondiente al proceso en estudio, del documento oficial de: COBIT5-Procesos Catalizadores (inicia en pág. 25). Copiar al Formulario Nro7 las Prácticas de Gestión y Gobierno.



Departamento de TI

3 Determinar si la Práctica de Gestión y Gobierno ha sido: Definida, Documentada, Comunicada, Implantada, Actualizada y Monitoreada.


Dirección de TI 4

Recepcionar y archivar el documento generado en esta etapa. FIN DEL PROCEDIMIENTO

Formulario N°7

ELABORÓ

ÁREA RESPONSABLE

AUTORIZÓ

Departamento de TI

----------------------------------------- Responsable:

Dirección de TI

-----------------------------------------Responsable:

Gerencia General

-----------------------------------------Responsable:

Formulario de Procedimiento N° 5: Cumplimiento del Proceso




HOJA

DE

01 NOV 2016 1 1

PROCEDIMIENTO:

CUMPLIMIENTO DEL PROCESO

CÓDIGO

CUMPRO-01

ÁREA

DEPARTAMENTO DE TI

DIRECCIÓN:

DIRECCIÓN DE TI

DEPARTAMENTO DE TI

DIRECCIÓN DE TI

INICIO


quiere analizar.

FIN


Recepcionar y archivar los documentos generados en esta

etapa.

Copiar al Formulario Nro7 las Prácticas de Gestión y Gobierno


Determinar si la Práctica ha sido: Definida, Documentada,

Comunicada, Implantada, Actualizada y Monitoreada.


COBIT5-Procesos

Catalizadores


Formulario N°7:

Formulario de Procedimiento N° 6: Diagrama de Flujo del Cumplimiento del Proceso


FORMULARIO NRO. 7: Cumplimiento del proceso

Código Proceso [1] Nombre del Proceso [2] Fecha Última Actualización [3]

Elaborado por [4] Prácticas de Gobierno

y Gestión

Definido Documentado Comunicado Implantado Actualizado Monitoreado Próxima Revisión

[5]

[6]Si__ No__

[7]Si__ No__

[8]Si__ No__

[9]Si__ No__

[10]Si__

No__

[11]Si__ No__ [12]dd/mm/yy

Si__ No__

Si__ No__

Si__ No__

Si__ No__

Si__ No__

Si__ No__

dd/mm/yy

Si__ No__

Si__ No__

Si__ No__

Si__ No__

Si__ No__

Si__ No__

dd/mm/yy

Si__ No__

Si__ No__

Si__ No__

Si__ No__

Si__ No__

Si__ No__

dd/mm/yy

Dueño del Proceso [13]<nombre> [16]<firma> Responsable Proceso [19]<nombre> [21]<firma> Controlador [14]<nombre> [17]<firma> Cliente [20]<nombre> [22]<firma> Proveedor [15]<nombre> [18]<firma>

Formulario N° 7: Cumplimiento del proceso


Instructivo de llenado del Formulario N°7: Cumplimiento de proceso

Campo Variable Descripción [1] Código Proceso Está compuesto por un prefijo de 3 caracteres que indica el

dominio al cual pertenece: “EDM para Evaluar, Orientar y Supervisar, APO para Alinear, Planificar y Organizar, BAI para Construir, Adquirir e Implementar, DSS para Entregar, dar Servicio y Soporte y MEA para Supervisar, Evaluar y Valorar; seguido por el número secuencial del proceso”

[2] Nombre del Proceso Es el nombre del proceso en sí a evaluar (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)


Fecha de la última actualización del documento, indicar: Día, mes y año


[5] Prácticas de Gobierno y Gestión

Nombre de la práctica de gobierno y gestión correspondiente al proceso en análisis. (Se lo obtiene de la descripción de los procesos expuesto en COBIT en el documento: COBIT5-Procesos Catalizadores, inicia en la página 25)

[6] Definido Marcar con una ‘X’ en ‘SI, si el proceso está correctamente definido, caso contrario en ‘NO’

[7] Documentado Marcar con una ‘X’ en ‘SI, si el proceso está correctamente documentado, caso contrario en ‘NO’

[8] Comunicado Marcar con una ‘X’ en ‘SI, si el proceso ha sido correctamente comunicado, caso contrario en ‘NO’

[9] Implantado Marcar con una ‘X’ en ‘SI, si el proceso ha sido correctamente implantado, caso contrario en ‘NO’

[10] Actualizado Marcar con una ‘X’ en ‘SI, si el proceso está correctamente actualizado, caso contrario en ‘NO’

[11] Monitoreado Marcar con una ‘X’ en ‘SI, si el proceso está correctamente monitoreado, caso contrario en ‘NO’

[12] Próxima Revisión

Fecha de la próxima revisión del documento, indicar: Día, mes y año

[13] Dueño del Proceso Es el cargo responsable de la ejecución del proceso. Es la persona que interactúa directamente con el proceso.


[14] Controlador Se encarga de monitorear que el proceso aporte a los criterios de información de COBIT y satisfaga los requerimientos de negocio. Aprueba cualquier cambio al proceso y verifica que las medidas de éxito del proceso se cumplan

[15] Proveedor Son las personas o grupos que entregan un insumo al proceso.

[16] Firma Dueño del Proceso

Firma del dueño del proceso

[17] Firma Controlador Firma del controlador

[18] Firma Proveedor Firma del proveedor

[19] Responsable Proceso

Se encarga de supervisar y velar por el cumplimiento de los objetivos del proceso. Todas las actividades de evaluación y cumplimiento del proceso, deben ser revisados por el responsable. El responsable es quien responde ante la gerencia del éxito o fracaso del proceso

[20] Cliente Son las personas o grupos que reciben un producto o servicio del proceso. Estos pueden ser del departamento de TI, o de un departamento distinto dentro de la organización.

[21] Firma Responsable Proceso

Firma del responsable del proceso

[22] Firma Cliente Firma del cliente



CAPITULO VII: APLICACIÓN PRÁCTICA DEL MANUAL PARA PROCESOS

RELEVANTES EN EL DEPARTAMENTO DE TI DE LA ORGANIZACIÓN

Para la realización de una aplicación práctica del manual, se ha escogido los

siguientes procesos que ya fueron clasificados como relevantes para el

departamento de TI y fueron mostrados anteriormente en el Cuadro N°10.

BAI01-Gestionar los Programas y Proyectos

DSS02- Gestionar las Peticiones y los Incidentes del Servicio

Estos procesos fueron escogidos en base a una sugerencia de la Jefatura de

TI, para así poder verificar el uso y aplicación del manual.


7.1 PROCESO: BAI01-GESTIONAR LOS PROGRAMAS Y PROYECTOS

7.1.1 DEFINICIÓN DEL PROCESO BAI01

7.1.1.1 DEFINICIÓN

FORMULARIO NRO. 2: Definición del Proceso Fecha 15/Nov/2016 DEFINICIÓN (Qué) Código BAI01 Dominio Construir, Adquirir e Implementar Nombre del Proceso:

Gestionar los programas y proyectos

OBJETIVOS (Por qué) Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.

Requerimientos de negocio a alcanzar Alcanzar los beneficios de negocio y reducir el riesgo de retrasos y costes inesperados y el deterioro del valor, mediante la mejora de las comunicaciones y la involucración de usuarios finales y de negocio, asegurando el valor y la calidad de los entregables del proyecto y maximizando su contribución al portafolio de servicios e inversiones.

ROLES (Quién) Dueño(s) Desarrollo y Soporte de Aplicaciones y Redes y

Telecomunicaciones Responsable(s) Jefe de TI Controlador(es) Encargado de Mejora de Procesos Cliente(s) Todos los departamentos de la empresa Granos a través de

las Jefaturas de cada área. Proveedor(es) UBICACIÓN (Donde)

Ubicación

Todos los departamentos de la empresa Granos donde así lo requieran

TIEMPO (Cuando) Ejecución Bajo Demanda Frecuencia No Aplicable RECURSOS (Cómo)


Gente X Instalaciones X Aplicaciones X Datos Tecnología X

Formulario Caso de Uso N° 1: Definición del Proceso BAI01



FORMULARIO NRO. 3: Diagrama de Flujos Proceso: BAI01-Gestionar los programas y proyectos

Creado por: Analista Revisado por: Jefe de TI Aprobado por: Jefe de TI

Fecha última aprobación: 15/Nov/2016 Fecha próxima revisión: 1/Feb/2016

INICIO

Recibir Solicitud de Requerimiento

Definir Objetivos del Negocio

Definir Beneficios del Proyecto

Definir Alcance del Proyecto

Identificar Riesgos del Proyecto

Estimar Recursos para el Proyecto

Proyecto es Aprobado?

Desarrollo del Proyecto

Ejecutar Pruebas

Elaborar Documentación

Realizar capacitación

Entregar Proyecto a Clientes

El proyecto puede ser entregado?

Evaluar y Cerrar el Proyecto

Fin

Reportes

SI

SI

NO

Analizar y Documentar los

motivos del rechazo

NO

Registro de

Proyecto

Formulario Caso de Uso N° 2: Diagrama de Flujo del Proceso BAI01



FORMULARIO NRO. 4: Inventario de Actividades Fecha: 15/Nov/2016

Código BAI01

Dominio Construir, Adquirir e Implementar

Nombre del Proceso Gestionar los programas y proyectos

Práctica de Gobierno y Gestión


BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos.

1. Mantener y reforzar un enfoque estándar de la gestión de programas y proyectos alineados al entorno específico de la empresa y a las buenas prácticas basadas en procesos definidos y el uso de tecnología apropiada. Asegurar que el enfoque cubra todo el ciclo de vida y las disciplinas a utilizar, incluyendo la gestión de alcance, recursos, riesgos, costes, calidad, tiempo, comunicaciones, involucración de las partes interesadas, adquisiciones, control de cambios, integración y generación de beneficios.

Dueño Requisitos de Revisión

Enfoques Actualizados

2. Actualizar el enfoque de gestión de programas y proyectos sobre la base de las lecciones aprendidas en su uso.

Dueño Requisitos de Revisión

Enfoques Actualizados

BAI01.02 Iniciar un programa.

1. Acordar el patrocinio del programa y designar una Junta/Comité con miembros que tengan intereses estratégicos en el programa y con responsabilidad en la toma de decisiones de inversión, que serán afectados significativamente por el programa y que serán necesarios para facilitar el cambio.

Cliente/Dueño Requisitos de Recursos

Mandato y expediente del programa

2. Confirmar el mandato del programa con los patrocinadores y las partes interesadas. Articular los objetivos estratégicos para el programa, las estrategias potenciales de entrega, las mejoras y los beneficios que se esperan y cómo el programa encaja con otras iniciativas.

Cliente/Dueño Visión y Misión Comunes

Plan de realización de beneficios del programa

3. Desarrollar un caso de negocio detallado para el programa, si se justifica. Involucrar a todas las partes interesadas relevantes para desarrollar y documentar un entendimiento completo de los resultados esperados por la empresa, cómo serán medidos estos resultados, el alcance total de las iniciativas requeridas, el riesgo involucrado y el impacto en todos los aspectos de la empresa. Identificar y evaluar los cursos de acción alternativos para lograr los resultados esperados por la empresa.

Cliente/Dueño Fases de Implementación

Caso de negocio de concepto del programa

4. Desarrollar un plan de realización de beneficios que será gestionado durante todo el programa para asegurar que los beneficios planificados siempre tengan propietarios, se logren, sostengan y optimicen.

Cliente/Dueño Habilidades y Competencias

Plan de realización de beneficios del programa

5. Preparar y someter a aprobación preliminar el caso de negocio inicial (conceptual) del programa, proporcionando información esencial para la toma

Cliente/Dueño Habilidades y

Caso de negocio de concepto


de decisiones respecto del propósito, la contribución a los objetivos del negocio, la creación de valor esperado, los márgenes de tiempo, etc.

Competencias

del programa

6. Designar un gerente dedicado para el programa, con las competencias y habilidades adecuadas para gestionar el programa de forma eficiente y efectiva.

Cliente/Dueño des y Competencias

Mandato y expediente del programa

BAIO01.03 Gestionar el compromiso de las partes interesadas.

1. Planificar la forma en que las partes interesadas internas y externas de la empresa serán identificadas, analizadas, comprometidas, y gestionadas a lo largo del ciclo de vida de los proyectos.

Cliente/Dueño Plan de involucración de las partes interesadas

2. Identificar, comprometer y gestionar a las partes interesadas, estableciendo y manteniendo niveles apropiados de coordinación, comunicación y vinculación para asegurar que estén involucrados en los programas/proyectos.

Cliente/Dueño Plan de involucración de las partes interesadas

3. Medir la efectividad del compromiso de las partes interesadas y tomar acciones de remediación si es necesario.

Cliente/Dueño Resultados de la evaluación de efectividad del compromiso de las partes interesadas

4. Analizar los intereses y los requisitos de las partes interesadas. Cliente/Dueño Resultados de la evaluación de efectividad del compromiso de las partes interesadas

BAI01.04 Desarrollar y mantener el plan de programa.

1. Definir y documentar el plan de programa cubriendo todos los proyectos, incluyendo lo que sea necesario para lograr cambios en la empresa; su imagen, productos y servicios, procesos de negocio, habilidades y cantidad de personal, requerimientos tecnológicos, relaciones con las partes interesadas, clientes, proveedores, entre otros, así como las reestructuraciones organizacionales necesarias para lograr los resultados que la empresa espera del programa.

Cliente/Dueño Inventario de recursos humanos de TI y del negocio

Requerimientos de recursos y roles

2. Especificar las habilidades y los recursos necesarios para ejecutar el proyecto, incluyendo los gerentes y los equipos del proyecto, así como los recursos del negocio. Especificar la financiación, coste, cronograma y las interdependencias de los múltiples proyectos. Especificar las bases para la contratación y asignación de miembros del personal competentes y/o contratistas a los proyectos. Definir los roles y las responsabilidades para todos los miembros del equipo y otras partes interesadas.

Cliente/Dueño Inventario de recursos humanos de TI y del negocio

3. Asignar la responsabilidad ejecutiva para cada proyecto en forma clara y sin ambigüedades, incluyendo el logro de los beneficios, el control de costes, la gestión de riesgos y la coordinación de las actividades de los proyectos.

Cliente/Dueño Equipo y roles para la implementación

Requerimientos de recursos y roles

4. Asegurar que existe una comunicación efectiva de los planes de programa e informes de avance sobre todos los proyectos y con todo el programa. Asegurar que cualquier cambio hecho en los planes individuales se refleje en el resto de planes de programa de la empresa.

Cliente/Dueño Plan de comunicación de la visión

5. Mantener el plan de programa para asegurar que esté actualizado y refleje su alineamiento con los objetivos estratégicos actuales, el nivel de avance y los cambios materiales en los resultados,

Cliente/Dueño Plan de comunicació


beneficios, costes y riesgos. La empresa tiene que difundir los objetivos y priorizar los trabajos para asegurar que el programa diseñado satisfará los requerimientos de la empresa. Revisar el avance de los proyectos individuales, ajustándolos si fuera necesario para satisfacer las entregas planificadas.

n de la visión

6. Actualizar y mantener el caso de negocio y el registro de beneficios a lo largo de la vida económica del programa para identificar y definir los beneficios principales surgidos de los programas ejecutados.

Cliente/Dueño

7. Preparar un presupuesto del programa que refleje los costes del ciclo de vida económico completo, así como los beneficios financieros y no financieros asociados.

Cliente/Dueño

BAI01.05 Lanzar y ejecutar el programa.

1. Planificar, dar recursos y asignar las responsabilidades requeridas para los proyectos necesarios para logar los resultados del programa, basados enç las revisiones de financiación y las aprobaciones en cada revisión de cambio de fase (stage-gate).

2. Establecer etapas acordadas para el proceso de desarrollo (puntos de verificación del desarrollo). Al final de cada etapa, facilitar discusiones formales de los criterios aprobados con las partes interesadas. Después de la finalización exitosa de la revisión de funcionalidad, rendimiento y calidad, y antes de finalizar las actividades de la etapa, obtener la aprobación formal y la firma de todas las partes interesadas y del patrocinador/propietario del proceso de negocio.

3. Llevar a cabo un proceso de obtención de beneficios durante el programa para asegurar que los beneficios planeados siempre tienen propietarios y que es probable que se consigan, mantengan y se optimicen. Supervisar la entrega de beneficios e informar con relación a las metas de rendimiento en la revisión de los cambios de fase o de iteración o en las revisiones de lanzamiento. Realizar análisis de causa-raíz para las desviaciones del plan e identificar y tomar las acciones correctivas necesarias.

4. Administrar cada programa o proyecto para asegurar que la toma de decisiones y las actividades de entrega están enfocadas en el valor mediante la consecución de los beneficios y las metas del negocio de una manera consistente, considerando el riesgo y alcanzando los requerimientos de las partes interesadas.

5. Establecer oficina(s) de gestión de programas/proyectos y planificar auditorías, revisiones de calidad, revisiones de cambios de fase (stage-gate) y revisiones de los beneficios realizados.

BAI01.06 Supervisar, controlar e informar de los resultados del programa.

1. Supervisar y controlar el rendimiento del programa general y de los proyectos dentro del programa, incluyendo la contribución al negocio y a TI de los proyectos, e informar de una manera oportuna, complete y veraz. Los informes pueden incluir cronogramas, financiación, funcionalidad, satisfacción del usuario, controles internos y aceptación de responsabilidades.

2. Supervisar y controlar el desempeño versus las estrategias y metas de la organización y TI e informar a la dirección de la organización de los cambios implementados, los beneficios logrados versus el plan y la idoneidad del proceso de obtención de beneficios.

3. Supervisar y controlar los servicios, activos y recursos de TI creados o modificados como resultado del programa. Verificar las fechas de implementación y puesta en servicio. Informar a la dirección de los niveles de rendimiento, entrega de servicio sostenido y contribución al valor.

4. Gestionar el desempeño del programa versus criterios claves (por ejemplo, alcance, planificación, calidad, obtención de beneficios, costes, riesgos, rapidez), identificar las desviaciones del plan y tomar oportunamente acciones correctivas cuando sean requeridas.

5. Supervisar el desempeño de proyectos individuales en relación a la entrega de unas esperadas capacidades, planificaciones, beneficios, costes, riesgos u otras métricas para identificar impactos potenciales en el rendimiento del programa. Tomar acciones correctivas oportunas cuando sea


requerido.

6. Actualizar los portafolios operacionales de TI que reflejen los cambios que resultan de los programas en los portafolios relevantes de servicios, activos y recursos de TI.

7. Realizar revisiones de acuerdo con los criterios de revisión de cambios de fase (stage-gate), de lanzamiento o de iteración para informar del progreso del programa para que la dirección puedan tomar decisiones de continuar/parar o de ajuste y aprobar financiación adicional para el siguiente cambio de fase, lanzamiento o iteración.

BAI01.07 Lanzar e iniciar proyectos dentro de un programa.

1. Crear un entendimiento común del alcance del proyecto entre las partes interesadas, proveer a las partes interesadas de una declaración clara y por escrito que defina la naturaleza, alcance y beneficio de cada proyecto.

2. Asegurar que cada proyecto tenga uno o más patrocinadores con suficiente autoridad para gestionar la ejecución del proyecto dentro los programas generales.

3. Asegurar que las partes interesadas y patrocinadores claves dentro de la organización y TI estén de acuerdo y acepten los requerimientos de los

4. Asegurar que la definición del proyecto describa los requerimientos para el plan de comunicación del proyecto que identifique las comunicaciones del proyecto, tanto internas como externas.

5. Con la aprobación de las partes interesadas, mantener una definición del proyecto durante la vida del proyecto que refleje los cambios en los requerimientos.

6. Hacer un seguimiento de la ejecución del proyecto, poniendo mecanismos tales como informes regulares y revisiones de cambios de estado (stagegate), lanzamientos o fases de una manera oportuna y con una aprobación adecuada.

BAI01.08 Planificar proyectos.

1. Desarrollar un plan de proyecto que provea información que permita a la dirección controlar el progreso del proyecto progresivamente. El plan debería incluir detalles de los entregables del proyecto y criterios de aceptación, recursos y responsabilidades requeridas interna y externamente, estructuras claras de división de trabajo y paquetes de tareas, estimaciones de recursos necesarios, hitos/planes de lanzamiento/fases, dependencias claves y la identificación del camino critico (critical path).

2. Mantener el plan del proyecto y cualquier plan dependiente (por ejemplo, plan de riesgo, plan de calidad, plan de obtención de beneficios) para asegurar que están actualizados y reflejan su progreso real y los cambios materiales aprobados.

3. Asegurar que existe una comunicación efectiva de los planes del proyecto y los informes de progreso dentro de todos los proyectos y dentro del programa general. Asegurar que los cambios hechos a planes individuales son reflejados en otros planes.

4. Determinar las actividades, interdependencias, colaboración necesaria y comunicación dentro los múltiples proyectos en el programa.

5. Asegurarse que cada hito es acompañado por un entregable significativo que requiere revisión y aprobación.

6. Establecer un marco base del proyecto (por ejemplo, coste, cronograma, alcance, calidad) que es debidamente revisado, aprobado e incorporado en el plan de proyectos integrado.

BAI01.09 Gestionar la calidad de los programas y proyectos.

1. Identificar las actividades y prácticas de aseguramiento para apoyar la acreditación sistemas nuevos o modificados durante la planificación del programa y del proyecto e incluirlos dentro de los planes integrados. Asegurarse que las tareas provean garantías de que las soluciones de seguridad y los controles internos cumplen con los requerimientos definidos.

2. Proporcionar garantías de calidad para los entregables del proyecto, identificar a propietarios y


responsabilidades, revisar el proceso de calidad, criterios de éxito y las métricas de desempeño.

3. Definir cualquier requerimiento para la validación y verificación independientes de la calidad de los entregables en el plan.

4. Realizar aseguramiento de la calidad y actividades de control de acuerdo con el plan de gestión de la calidad y el SGC.

BAI01.10 Gestionar el riesgo de los programas y proyectos.

1. Establecer un enfoque de gestión de riesgo de proyectos alineado con el marco de referencia de ERM. Asegurar que este enfoque incluya la identificación, análisis, respuesta, mitigación, supervisión y control del riesgo.

2. Asignar la responsabilidad para ejecutar el proceso de gestión del riesgo de los proyectos de la entidad al personal con las capacidades adecuadas y asegurar que está incorporado en las prácticas de desarrollo de la solución. Considerar asignar este perfil a un equipo independiente, especialmente si es necesario un punto de vista objetivo o el proyecto se considera crítico.

3. Realizar un análisis de riesgo del proyecto para identificar y cuantificar el riesgo de manera continua durante el proyecto. Gestionar y comunicar el riesgo adecuadamente dentro de la estructura de gobierno del proyecto.

4. Reevaluar el riesgo del proyecto periódicamente, incluyendo al inicio de cada fase de un proyecto importante y como parte de las evaluaciones de solicitudes de cambios importantes.

5. Identificar los propietarios de las acciones para evitar, aceptar o mitigar el riesgo.

6. Mantener y revisar el registro de los riesgos potenciales del proyecto y el registro de la mitigación de riesgos de todos los aspectos del proyecto y su resolución. Analizar periódicamente el registro para ver tendencias y problemas recurrentes y asegurarse que se corrigen las causas raíz.

BAI01.11 Supervisar y controlar proyectos.

1. Establecer y usar un conjunto de criterios de proyecto que incluyan, pero no limitados a, alcance, planificación, calidad, coste y nivel de riesgo.

2. Medir el rendimiento del proyecto versus criterios claves de rendimiento. Analizar las desviaciones de criterios claves de desempeño por su causa y evaluar los efectos positivos y negativos en el programa y los proyectos que lo componen.

3. Notificar el progreso del proyecto dentro del programa, las desviaciones de los criterios claves de desempeño establecido y los efectos positivos y negativos en los programas y en los proyectos que los componen a las partes interesadas identificadas como claves.

4. Supervisar los cambios al programa y revisar los criterios claves de desempeño del proyecto para determinar si estos representan medidas válidas del avance.

5. Documentar y enviar cualquier cambio al programa a las partes interesadas claves antes de su adopción. Comunicar los criterios revisados a los jefes de proyecto para su uso en los informes futuros de desempeño.

6. Recomendar y supervisar las acciones correctivas, cuando sean requeridas, en línea con el marco de gobierno de programas y proyectos.

7. Obtener la aprobación y firma documentada de los entregables producidos en cada iteración, lanzamiento o fase del proyecto de los gestores y usuarios designados que afectan las funciones del negocio y a TI.

8. Basar el proceso de aprobación en criterios de aceptación claramente definidos y acordados con las partes interesadas claves antes de que comience el trabajo sobre el entregable de la fase o de la iteración.

9. Evaluar el proyecto en los cambios de fase (stage-gate), versiones o iteraciones más importantes acordados y tomar la decisión de continuar/parar de acuerdo con criterios de éxito


predeterminados.

10. Establecer y operar un sistema de control de cambios para el proyecto de forma que todos los cambios a la línea de referencia (baseline) del proyecto (por ejemplo, coste, cronograma, alcance, calidad) sean adecuadamente revisados, aprobados e incorporados en el plan de proyecto integrado en línea con el marco de gobierno del programa y proyectos.

BAI01.12 Gestionar los recursos y los paquetes de trabajo del proyecto.

1. Identificar las necesidades de recursos del negocio y TI para el proyecto y mapear claramente los perfiles y responsabilidades, con las responsabilidades para la escalado y la toma de decisiones que han sido acordadas y entendidas.

2. Identificar los requerimientos de habilidades y tiempo para todos los individuos involucrados en las fases del proyecto con relación a sus perfiles definidos. Asignar personal a los roles basándose en la información sobre las habilidades disponibles (p.ej. matriz de habilidades de TI).

3. Utilizar un gestor de proyecto experimentado y un líder de equipo con habilidades apropiadas al tamaño, complejidad y riesgo del proyecto.

4. Considerar y definir claramente los roles y responsabilidades de otras partes involucradas, incluyendo financiero, legal, compras, RRHH, auditoría interna y cumplimiento.

5. Definir y acordar claramente la responsabilidad sobre la compra y gestión de productos y servicios de terceras partes, así como la gestión de las relaciones.

6. Identificar y autorizar la ejecución del trabajo de acuerdo al plan de proyecto.

7. Identificar las diferencias con el plan de proyecto y dar realimentación al jefe de proyecto para su remediación.

BAI01.13 Cerrar un proyecto o iteración.

1. Definir y aplicar los pasos claves para el cierre del proyecto, incluyendo revisiones post-implementación que evalúen si el proyecto obtuvo los resultados y beneficios deseaos.

2. Planificar y ejecutar revisiones post-implementación para determinar si los proyectos entregaron los beneficios esperados y para mejorar la metodología de gestión de proyecto y el proceso de desarrollo de sistemas.

3. Identificar, asignar, comunicar y rastrear las actividades incompletas necesarias para lograr los resultados y beneficios planeados del programa del proyecto.

4. Recolectar las lecciones aprendidas de los participantes del proyecto regularmente y hasta la finalización del proyecto. Revíselas e identifique las actividades claves que llevaron a los beneficios y valor entregados. Analice los datos y haga recomendaciones para mejorar los proyectos actuales así como el método de gestión para proyectos futuros.

5. Obtenga la aceptación de los entregables y la transferencia de propiedad del proyecto de las partes interesadas

BAI01.14 Cerrar un programa.

1. Llevar el programa a un cierre ordenado, incluyendo una aprobación formal, desmantelamiento de la organización del programa y la función de apoyo, validación de los entregables y comunicación de la retirada.

2. Revisar y documentar las lecciones aprendidas. Una vez que el programa ha sido retirado, elimínelo del portafolio de inversiones activas.

3. Establecer la responsabilidad y los procesos para asegurar que la organización continúe la optimización del valor de los servicios, activos o recursos. Pueden ser necesarias inversiones adicionales en el futuro para asegurarse que esto ocurra.

Formulario Caso de Uso N° 3: Inventario de Actividades del Proceso BAI01


7.1.2 EVALUACIÓN DEL PROCESO BAI01



Código Proceso BAI01

Nombre del Proceso



Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar,

planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.

Fecha Última Actualización 16/Nov/2016

Elaborado por Analista de Sistemas

Revisado por Jefe de TI

Metas de TI Métrica Valor Máximo Esperado

Valor Real

Indicador Efectividad (%)

Fecha

01 Alineamiento de TI

y la estrategia de

negocio

Porcentaje de las metas y requerimientos estratégicos de la empresa soportados por las metas estratégicas para TI

100 70 70 16/Nov/2016

Nivel de satisfacción de las partes interesadas con el alcance del portafolio de programas y servicios planeados

3 2 66.66 16/Nov/2016

Porcentaje de los facilitadores de valor de TI mapeados con facilitadores de valor del negocio

100 60 60 16/Nov/2016

04 Riesgos de negocio relacionados con las TI gestionados

Porcentaje de procesos de negocio críticos, servicios TI y programas de negocio habilitados por las TI cubiertos por evaluaciones de riesgos

100 0 0 16/Nov/2016

Número de incidentes significativos relacionados con las TI que no fueron identificados en la evaluación de riesgos

0 10

(por mes)

0 16/Nov/2016

Porcentaje de evaluaciones de riesgo de la empresa que incluyen los riesgos relacionados con TI

100 0 0 16/Nov/2016


Frecuencia de actualización del perfil de riesgo 100 0 0 16/Nov/2016

Realización de beneficios del portafolio de inversiones y servicios relacionados con las TI

Porcentaje de inversiones de TI en los que la realización del beneficio se monitoriza a través del ciclo de vida económico completo.

100 20 20 16/Nov/2016

Porcentaje de servicios TI en los que se realizan los beneficios esperados.

100 70 70 16/Nov/2016

Porcentaje de las inversiones en TI donde los beneficios demandados son alcanzados o excedidos.

100 80 80 16/Nov/2016

13 Entrega de programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad

Número de programas/proyectos ejecutados en plazo y en presupuesto

100 40 40 16/Nov/2016

Porcentaje de partes interesadas satisfechas con la calidad del programa/proyecto

100 50 50 16/Nov/2016

Número de programas que necesitan ser revisados significativamente debido a defectos de calidad

20 10 50 16/Nov/2016

Coste del mantenimiento de aplicaciones respecto al coste total de TI

100 70 70 16/Nov/2016

Formulario Caso de Uso N° 4: Evaluación del Proceso (Métricas relacionada a las metas de TI) para el Proceso BAI01



FORMULARIO NRO. 6: Evaluación del Proceso (Métricas relacionada a las metas del proceso)

Código Proceso BAI01

Nombre del Proceso



Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar,

planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.




Metas de Proceso Métrica Valor Máximo Esperado

Valor Real


Fecha

1. Las partes interesadas relevantes están comprometidas con los programas y los proyectos.

Porcentaje de partes interesadas efectivamente comprometidas 100 60 60 16/Nov/2016

Nivel de satisfacción con la involucración de las partes interesadas 100 60 60 16/Nov/2016

2. El alcance y los resultados de los programas y proyectos son viables y están alineados con los objetivos.

Porcentaje de grupos de interés que aprueban las necesidades de la empresa, el alcance, los resultados esperados y el nivel de riesgo del proyecto

100 80 80 16/Nov/2016

Porcentaje de proyectos emprendidos sin casos de negocio

aprobados

100 40 40 16/Nov/2016

3. Los planes de programas y proyectos tienen probabilidades de lograr los resultados esperados.

Porcentaje de actividades alineadas al alcance y a los resultados esperados

100 60 60 16/Nov/2016

Porcentaje de programas activos emprendidos sin mapas de valor de programa actualizados y válidos

100 80 80 16/Nov/2016

4. Las actividades de los programas y

Frecuencia de revisiones de estado 100 20 20 16/Nov/2016


proyectos se ejecutan de acuerdo a los planes.

Porcentaje de desviaciones del plan de referencia 100 40 40 16/Nov/2016

Porcentaje de partes interesadas que firman las revisiones de cambio de estado (stage-gate) de los programas activos

100 20 20 16/Nov/2016

5. Existen suficientes recursos de los programas y proyectos para realizar las actividades de acuerdo a los planes.

Número de incidentes con recursos (por ejemplo, habilidades,

capacidad)

100 30 30 16/Nov/2016

6. Los beneficios esperados de los programas y proyectos son obtenidos y aceptados.

Porcentaje de beneficios esperados que se han alcanzado 100 70 70 16/Nov/2016

Porcentaje de resultados aceptados al primer intento 100 30 30 16/Nov/2016

Nivel de satisfacción expresada por las partes interesadas en las revisiones de cierre de proyectos

100 10 10 16/Nov/2016

Formulario Caso de Uso N° 5: Evaluación del Proceso (Métricas relacionada a las metas de Proceso) para el Proceso BAI01


7.1.3 CUMPLIMIENTO DEL PROCESO BAI01


Código Proceso BAI01 Nombre del Proceso



Elaborado por Analista de Sistemas Prácticas de Gobierno y Gestión Definido Documentado Comunicado Implantado Actualizado Monitoreado Próxima

Revisión

BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

BAI01.02 Iniciar un programa.

Si_X_ No__

Si__ No_X_

Si_X_ No__

Si_X_ No__

Si_X_ No__

Si__ No_X_

1/Feb/2017

BAI01.03 Gestionar el compromiso de las partes interesadas.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

BAI01.04 Desarrollar y mantener el plan de programa.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

BAI01.05 Lanzar y ejecutar el programa.

Si_X_ No__

Si__ No_X_

Si_X_ No__

Si_X_ No__

Si_X_ No__

Si__ No_X_

1/Feb/2017

BAI01.06 Supervisar, controlar e informar de los resultados del programa.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

BAI01.07 Lanzar e iniciar proyectos dentro de un programa.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017


BAI01.08 Planificar proyectos.

Si_X_ No__

Si__ No_X_

Si_X_ No__

Si__ No_X_

Si_X_ No__

Si__ No_X_

1/Feb/2017

BAI01.09 Gestionar la calidad de los programas y proyectos.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

BAI01.10 Gestionar el riesgo de los programas y proyectos.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

BAI01.11 Supervisar y controlar proyectos.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

BAI01.12 Gestionar los recursos y los paquetes de trabajo del proyecto.

Si_X_ No__

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

BAI01.13 Cerrar un proyecto o iteración.

Si_X_ No__

Si__ No_X_

Si_X_ No__

Si_X_ No__

Si__ No_X_

Si__ No_X_

1/Feb/2017

BAI01.14 Cerrar un programa.

Si_X_ No__

Si__ No_X_

Si_X_ No__

Si_X_ No__

Si__ No_X_

Si__ No_X_

1/Feb/2017

Dueño del Proceso Analista de Sistemas

------------------------ Responsable Proceso

Jefe de TI ------------------------

Controlador Encargado de Mejora de Procesos

------------------------ Cliente ------------------------

Proveedor ------------------------

Formulario Caso de Uso N° 6: Cumplimiento del BAI01


7.2 PROCESO: DSS02- GESTIONAR LAS PETICIONES Y LOS INCIDENTES

DEL SERVICIO

7.2.1 DEFINICIÓN DEL PROCESO DSS02

7.2.1.1 DEFINICIÓN

FORMULARIO NRO. 2: Definición del Proceso Fecha 15/Nov/2016

DEFINICIÓN (Qué)

Código DSS02

Dominio Entrega, Servicio y Soporte

Nombre del Proceso:

Gestionar las peticiones y los incidentes del servicio

OBJETIVOS (Por qué)

Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.

Requerimientos de negocio a alcanzar

Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de consultas de usuario e incidentes.

ROLES (Quién)

Dueño(s) “Soporte y Help Desk”, “Desarrollo y Soporte de Aplicaciones” y “Redes y Telecomunicaciones”

Responsable(s) Jefe de TI

Controlador(es) Encargado de Mejora de Procesos

Cliente(s) Todos los departamentos de la empresa Granos a través de las Jefaturas de cada área.

Proveedor(es) Proveedores de servicios y contratistas externos

UBICACIÓN (Donde)

Ubicación

Todos los departamentos de la empresa Granos donde así lo requieran

TIEMPO (Cuando)

Ejecución Bajo Demanda

Frecuencia No Aplicable

RECURSOS (Cómo)


Gente X Instalaciones X

Aplicaciones X Datos X

Tecnología X

Formulario Caso de Uso N° 7: Definición del Proceso DSS02



FORMULARIO NRO. 3: Diagrama de Flujos Proceso: DSS02- Gestionar las peticiones y los incidentes del servicio Creado por: Analista Revisado por: Jefe de TI Aprobado por: Jefe de TI

Fecha última aprobación: 15/Nov/2016 Fecha próxima revisión: 1/Feb/2016

INICIO

Solicita soporte técnico de software

o hardware

Analiza la solicitud

Aprueba la solicitud?

SI

Solicitud de soporte

Programa el servicioRespuesta del

rechazo

NO

Registro de la solicitud

El técnico es atendido por el

solicitante?

Registra la visita

NO

Detalla las acciones para dar solución

Presta el servicio

Establece las actividades para el escalamiento del

problema y posterior solución a

la falla

El soporte técnico cumplió el objetivo?

NO

Verifica la solución de la falla

SI

Registro de planilla de atención a

usuarios

Firma la aceptación del solicitante

Registra observaciones

FINSI

Formulario Caso de Uso N° 8: Diagrama de flujo del Proceso DSS02



FORMULARIO NRO. 4: Inventario de Actividades Fecha: 15/Nov/2016 Código DSS02 Dominio Entrega, Servicio y Soporte

Nombre del Proceso Gestionar las peticiones y los incidentes del servicio Práctica de Gobierno y Gestión


DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio.

1. Definir esquemas de clasificación y priorización de incidentes y peticiones de servicio y criterios para el registro de problemas, para asegurar enfoques consistentes en el tratamiento, informando a los usuarios y realizando análisis de tendencias.

Cliente / Dueño Esquema de clasificación de problemas

Esquemas y modelos de clasificación de incidentes y peticiones de servicio

2. Definir modelos de incidentes para errores conocidos con el fin de facilitar su resolución eficiente y efectiva.

Cliente / Dueño Acciones y comunicaciones de respuesta a incidentes

Esquemas y modelos de clasificación de incidentes y peticiones de servicio

3. Definir modelos de peticiones de servicio según el tipo de petición de servicio correspondiente para facilitar la auto-ayuda y el servicio eficiente para las peticiones estándar.

Cliente / Dueño Esquema de clasificación de problemas

Criterios para registro de problemas

4. Definir reglas y procedimientos de escala de incidentes, especialmente para incidentes importantes e incidentes de seguridad.

Cliente / Dueño Reglas de monitorización de activos y condiciones de eventos

Reglas para escalado de incidentes

5. Definir fuentes de conocimiento de incidentes y peticiones y su uso. Cliente / Dueño Esquema de clasificación de problemas

Criterios para registro de problemas

DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes.

1. Registrar todos los incidentes y peticiones de servicio, registrando toda la información relevante de forma que pueda ser manejada de manera efectiva y se mantenga un registro histórico completo.

Cliente / Dueño Tiques de incidentes de seguridad

Registro de incidentes y peticiones de servicio

2. Para posibilitar análisis de tendencias, clasificar incidentes y peticiones de servicio identificando tipo y categoría.

Cliente / Dueño Reglas de supervisión de activos y

Incidentes y peticiones de servicio


condiciones de eventos

clasificados y priorizados

3. Priorizar peticiones de servicio e incidentes según la definición de impacto en el negocio del ANS y la urgencia.

Cliente / Dueño Reglas de supervisión de activos y condiciones de eventos

Incidentes y peticiones de servicio clasificados y priorizados

DSS02.03 Verificar, aprobar y resolver peticiones de servicio.

1. Verificar los derechos para realizar peticiones de servicio usando, cuando sea posible, un flujo de proceso predefinido y cambios estándar.

Cliente / Dueño Causas raíz relacionadas con riesgos

Peticiones de servicio completas

2. Obtener aprobación financiera y funcional o firmada, si se requiere, o aprobaciones predefinidas para cambios estándar acordados.


Peticiones de servicio aprobadas

3. Completar las peticiones siguiendo el procedimiento de petición seleccionado, utilizando, cuando sea posible, menús automáticos de autoayuda y modelos de petición predefinidos para los elementos solicitados frecuentemente.


Peticiones de servicio completas

DSS02.04 Investigar, diagnosticar y localizar Incidentes.

1. Identificar y describir síntomas relevantes para establecer las causas más probables de los incidentes. Hacer referencia a los recursos de conocimiento disponibles (incluyendo errores y problemas conocidos) para identificar posibles resoluciones de incidentes (soluciones temporales y/o soluciones permanentes).

Cliente / Dueño Plan de soporte adicional

Síntomas de incidentes

2. Registrar un nuevo problema si un problema relacionado o error conocido no existe aún y si el incidente satisface los criterios acordados para registro de problemas.


Registro de problemas

3. Asignar incidentes a funciones especialistas si se necesita de un conocimiento más profundo, e implicar al nivel de gestión apropiado, cuando sea necesario.


Registro de problemas

DSS02.05 Resolver y recuperarse ante incidentes.

1. Seleccionar y aplicar las resoluciones de incidentes más apropiadas (soluciones provisionales y/o soluciones permanentes).

Cliente / Dueño Planes de respuesta a incidentes relacionados con riesgos

Resoluciones de incidentes

2. Registrar si se usaron soluciones temporales para resolver los incidentes. Cliente / Dueño Registros de errores conocidos


3. Ejecutar acciones de recuperación, si se requieren. Cliente / Dueño Planes de respuesta a incidentes relacionados con riesgos


4. Documentar la resolución del incidente y evaluar si puede usarse como una fuente Cliente / Dueño Registros de errores



de conocimiento en el futuro. conocidos

DSS02.06 Cerrar peticiones de servicio e incidentes.

1. Verificar con los usuarios afectados (si lo han acordado) que la petición de servicio ha sido completada o el incidente ha sido resuelto de manera satisfactoria.

Cliente / Dueño Registros de problemas cerrados

Peticiones de servicio e incidentes cerrados

2. Cerrar peticiones de servicio e incidentes. Cliente / Dueño Registros de problemas cerrados

Confirmación del usuario de resolución o cumplimiento satisfactorios

DSS02.07 Seguir el estado y emitir de informes.

1. Supervisar y hacer seguimiento del escalado de incidentes y de resoluciones y de los procedimientos de gestión de resoluciones para progresar hacia la resolución o cumplimentación.

Cliente / Dueño Informes de resolución de problemas

Informe de estado y tendencias de incidentes

2. Identificar la información para las partes interesadas y sus necesidades de datos o informes. Identificar la frecuencia y el medio para informarles.

Cliente / Dueño Informes de resolución de problemas

Informes de estado de cumplimiento de peticiones y tendencias

3. Analizar incidentes y peticiones de servicio por categoría y tipo para establecer tendencias e identificar patrones de asuntos recurrentes, infracciones de ANSs o ineficiencias. Utilizar la información como entrada a la planificación de la mejora continua.

Cliente / Dueño Informes de monitorización de resolución de problemas


4. Producir y distribuir informes en tiempo o proporcionar acceso controlado a datos online.

Cliente / Dueño Informes de estado de problemas


Formulario Caso de Uso N° 9: Inventario de Actividades del Proceso DSS02


7.2.2 EVALUACIÓN DEL PROCESO DSS02



Código Proceso DSS02

Nombre del Proceso



Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y

completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.




Metas de TI Métrica Valor Máximo Esperado

Valor Real


Fecha

04 Riesgos de negocio

relacionados con las TI

gestionados

Porcentaje de procesos de negocio críticos, servicios TI y programas de negocio habilitados por las TI cubiertos por evaluaciones de riesgos

100 10 10 16/Nov2016

Número de incidentes significativos relacionados con las TI que no fueron identificados en la evaluación de riesgos

10 2 (por mes) 20 16/Nov2016

Porcentaje de evaluaciones de riesgo de la empresa que incluyen los riesgos relacionados con TI

100 0 0 16/Nov2016

Frecuencia de actualización del perfil de riesgo 100 0 0 16/Nov2016

07 Entrega de servicios

de TI de acuerdo a los

requisitos del negocio

Número de interrupciones del negocio debidas a incidentes en el servicio de TI

10 3 (por mes) 30 16/Nov2016

Porcentaje de partes interesadas satisfechas con el cumplimiento del servicio de TI entregado respecto a los niveles de servicio acordados

100 70 70 16/Nov2016

Porcentaje de usuarios satisfechos con la calidad de los servicios de TI entregados

100 60 60 16/Nov2016

Formulario Caso de Uso N° 10 : Evaluación del Proceso (Métricas relacionada a las metas de TI) para el Proceso DSS02



FORMULARIO NRO. 6: Evaluación del Proceso (Métricas relacionada a las metas del proceso)

Código Proceso DSS02

Nombre del Proceso



Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y

completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.




Metas de Proceso Métrica Valor Máximo Esperado

Valor Real


Fecha

1. Los servicios

relacionados con TI

están disponibles para

ser utilizados.

Número y porcentaje de incidentes que causan interrupción en los procesos críticos de negocio

2

(por mes)

16/Nov2016

Tiempo promedio entre incidentes de acuerdo con el servicio facilitado por TI

10 1

(cada 2 semanas)

16/Nov2016

2. Los incidentes son

resueltos según los

niveles de servicio

acordados.

Porcentaje de incidentes resueltos dentro de un periodo acordado/ aceptable

100 60 60 16/Nov2016

3. Las peticiones de servicio son resueltas según los niveles de servicio acordados y la satisfacción del usuario.

Nivel de satisfacción del usuario con la resolución de las peticiones de servicio

100 70 70 16/Nov2016

Tiempo promedio transcurrido para el tratamiento de cada tipo de petición de servicio

15 (min) 16/Nov2016

Formulario Caso de Uso N° 11: Evaluación del Proceso (Métricas relacionada a las metas de Proceso) para el Proceso DSS02


7.2.3 CUMPLIMIENTO DEL PROCESO DSS02

Formulario Caso de Uso N° 12: Cumplimiento del Proceso DSS02


Código Proceso DSS02 Nombre del Proceso Gestionar las peticiones y los incidentes del servicio


Elaborado por Analista de Sistemas Prácticas de Gobierno y Gestión Definido Documentado Comunicado Implantado Actualizado Monitoreado Próxima Revisión

DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio.

Si_X_ No__

Si_X_ No__

Si_X_ No__

Si_X_ No__

Si__ No_X_

Si__ No_X_

1/Feb/2017

DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes.

Si_X_ No__

Si_X_ No__

Si_X_ No__

Si_X_ No__

Si__ No_X_

Si__ No_X_

1/Feb/2017

DSS02.03 Verificar, aprobar y resolver peticiones de servicio.

Si_X_ No__

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

DSS02.04 Investigar, diagnosticar y localizar incidentes.

Si_X_ No__

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

DSS02.05 Resolver y recuperarse de incidentes.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

DSS02.06 Cerrar peticiones de servicio e incidentes.

Si_X_ No__

Si__ No_X_

Si_X_ No__

Si_X_ No__

Si__ No_X_

Si__ No_X_

1/Feb/2017

DSS02.07 Seguir el estado y emitir informes.

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

Si__ No_X_

1/Feb/2017

Dueño del Proceso Analista -----------------

Responsable Proceso Jefe de TI ------------------------

Controlador Jefe de TI ------------------ Cliente ------------------------

Proveedor ------------------


CAPÍTULO VIII: EVALUACIÓN DE RESULTADOS

Para la realización de una aplicación práctica del manual, la Jefatura de TI

recomendó dos procesos que se mencionan a continuación:

BAI01-Gestionar los Programas y Proyectos

DSS02- Gestionar las Peticiones y los Incidentes del Servicio

Durante la aplicación del manual se han creado los formularios indicados por el

manual de forma independiente para cada proceso, cumpliéndose con las fases

de: Definición, evaluación y cumplimiento que sugiere el manual.

Se ha podido evidenciar que siguiendo las 3 fases del manual, se ha

conseguido: Definir el proceso, documentarlo y evaluarlo para así poder

determinar el estado actual y el grado de cumplimiento en el que se encuentra,

y así poder analizar, diseñar, desarrollar e implementar las medidas necesarias

para mejorarlo e incrementar su nivel de madurez.

Otro punto que hay que recalcar es que como el manual implementa COBIT 5

dentro de sus formularios, asegura el control de los procesos de TI, que es uno

de los requisitos necesarios para ofrecer criterios de información.

En los inicios del proyecto, había un alto grado de predisposición a ayudar de

parte de todos los integrantes del departamento de TI, luego durante la

aplicación del manual, fue notoria una resistencia al mismo, a los usuarios del

manual se los observaba como preocupados por estar plasmando sus

conocimientos y habilidades en formatos de diagramas dibujados sobre un

papel.


La aplicación práctica es una actividad válida que nos permite verificar las

ventajas y desventajas de manual, es así que durante la aplicación del mismo

se pudo observar lo siguiente:

En el Formulario Nro. 4 de inventario de actividades, se pudo notar que

para cada actividad, el listado de entradas y salidas genera redundancia

de documentación y estas mismas entradas y salidas se ven claramente

documentadas en el diagrama de flujo, es por eso que no se lo ha

terminado de llenar en el “Formulario Caso de Uso N° 3: Inventario de

Actividades del Proceso BAI01”, en consecuencia se ha definido realizar

una modificación y actualización al Formulario Nro. 4 en el cual se van a

listar las entradas y salidas de cada actividad o proceso que se describa

en el diagrama de flujo, este formulario está en el Anexo Nro. 5 de este

documento y se encuentra debidamente ajustado y corregido con la

observación realizada. Este nuevo formulario va a acompañar al

formulario del diagrama de flujo como parte de la documentación

En el Formulario Nro. 7 que trata sobre el cumplimiento del proceso, se

pudo evidenciar que no es muy útil responder solo con un “SI” o un “NO”

a los parámetros de evaluación (Definido, Documentado, Comunicado,

Implantado, Actualizado y Monitoreado) que se aplican a las prácticas de

gestión y gobierno, sino que es necesario asignar un valor porcentual de

cumplimiento y además detallar los instrumentos que justifican el

cumplimiento o el no cumplimiento de los objetivos de cada “práctica de

gestión y gobierno” respecto al parámetro de evaluación, por esta razón

se plantea que se detallen las: Tareas, actividades, documentos u otras

observaciones que implementan los mismos, El Anexo Nro. 6, muestra el

nuevo formato del Formulario Nro. 7 con todas las correcciones

realizadas respecto a las observaciones dadas.


Con solo dos procesos realizados durante la aplicación del manual, ya hubieron

observaciones y sugerencias de mejoras para el mismo, esto es importante ya

que la retroalimentación siempre tiene que existir y el manual tiene que ser

actualizado en todo momento que se lo requiera, siempre y cuando haya un

análisis previo de las observaciones, para así poder validarlas e implementarlas

oportunamente, sin salirse del marco de trabajo que nos propone COBIT, en

consecuencia, hechas las correcciones y nuevas sugerencias, ya se cuenta con

la 2da. versión del manual.


CAPÍTULO IX: CONCLUSIONES Y RECOMENDACIONES

9.1 CONCLUSIONES

A través de la aplicación de las prácticas de cascada de metas propuesta

por COBIT 5, se logró la identificación y priorización de las: Metas

corporativas, metas de TI y procesos del departamento de TI, con el fin de

alinearlos a los objetivos del negocio.

Con la evaluación del grado de madurez de los procesos del departamento

de TI, se pudo determinar que la mayoría de sus procesos son intuitivos y

carecen de una correcta definición, documentación, evaluación y control

sobre el cumplimiento de sus objetivos, así también se pudo concluir que el

nivel de madurez del departamento de TI es el “1 Proceso ejecutado” que

significa que la mayoría de los procesos implementados en TI se ejecutan y

alcanzan su propósito, sin embargo estos no están: Definidos,

documentados y administrados.

El diseño del manual de mejora ha definido como principal objetivo, elevar el

grado de madurez de los procesos, para lo cual se consideró evolucionar

desde el estado intuitivo, pasando por el estado definido hasta llegar a un

nivel administrado y medido, lo que fue obtenido con la definición de

requerimientos de mejora de procesos. Entonces al contar con estas 3 fases

de diseño: Definición y documentación, evaluación y cumplimiento, se

asegura las guías necesarias para que los procesos puedan superar de

forma incremental el nivel de definición y alcanzar el nivel de procesos

administrados y medidos.

Dentro del modelo de madurez de COBIT, el nivel 5 de “Proceso

Optimizado”, corresponde a la implantación de las mejores prácticas de la

industria, pero el objetivo del manual del presente trabajo, solo se propone

llevar hasta el nivel 4 de “Proceso Predecible”, porque para alcanzar el nivel

5 se requiere disponer de otros recursos que actualmente el departamento

de TI no ha considerado dentro de sus planes y presupuestos. Sin embargo

con la aplicación del manual se dio el paso inicial para lograr una mejora


gradual de procesos y así posteriormente en un futuro llegar a un Nivel 5 de

procesos optimizados, así también se pudo evaluar y mejorar el manual.

9.2 RECOMENDACIONES

El departamento de TI debe disponer del tiempo suficiente para: Definir,

documentar, evaluar y optimizar sus procesos y de esta manera lograr un

incremento del nivel de madurez de los mismos.

Con la aplicación del marco de referencia de COBIT para la evaluación de

los procesos de TI, se ha podido evidenciar la necesidad de contar con una

definición y administración clara de prácticas y políticas de monitoreo de los

procesos de TI. Aunque la provisión de servicios y la ejecución de procesos

es satisfactoria dentro de la organización, no existen medidas cuantitativas

de los grados de eficacia y eficiencia de los procesos que permitan a la

gerencia de TI detectar posibles desviaciones de una manera proactiva y de

esta manera ofrecer una retroalimentación al negocio.

Fomentar la capacitación, aprendizaje y conocimiento en el personal de TI,

sobre las metodologías, marcos de trabajo, normas y estándares

internacionales que beneficien la gestión de TI, de manera oportuna y

eficiente, para trabajar en la implementación de procesos de gestión de TI,

apuntalando la consecución de objetivos de TI y así lograr los objetivos del

negocio.

Es importante hacer una gestión sobre los recursos humanos, debido a que

se puede optimizar sus actividades mediante documentación de

procedimientos y evaluación de procesos, con esto se obtendrían métricas

que permitan tomar las mejores decisiones en beneficio de la compañía y

alcanzando la excelencia operativa.

Asegurar la colaboración entre el negocio y las TI, logrando que TI

evoluciones de un área de apoyo a un área estratégica para la empresa.


BIBLIOGRAFIAS

COBIT5, (2012). Un Marco de Negocio para el Gobierno y la Gestión de

la Empresa, ISACA, Estados Unidos (COBIT5-Framework-Spanish.pdf).

COBIT5. (2012). Procesos Catalizadores, ISACA, Estados Unidos

(COBIT5-Enabling-Spanish.pdf).

COBIT5. (2012). Implementación, ISACA, Estados Unidos (COBIT5-

Implementation-Spanish.pdf)

ISACA. (2012). Traducción al Español Cortesía de ISACA Capítulo de Panamá. http://www.academia.edu/6676824/COBIT5_Introduction_Spanish

ISACA, COBIT IT Governance Institute, Disponible en:

http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish

.pdf

ISACA, COBIT Executive Summary, 3ra. Edición, Rolling Meadows,

ISACA, COBIT Control Objetives, 3ra. Edición, Rolling Meadows,

ISACA, COBIT Framework, 3ra. Edición, Rolling Meadows,

ISACA, COBIT Management Guidelines, 3ra. Edición, Rolling Meadows,

NIST (National Institute of Standards and Technology – U.S. Department

of Commerce). “Generally Accepted Principles and Practices for Securing

Information Technology Systems”. Marianne Swanson y Barbara

Guttman, 1996.

www.isaca.org

http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf

http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf

http://www.isaca.org/


GLOSARIO DE TÉRMINOS Atributo (de capacidad) de un proceso:

ISO/IEC 15504: Una característica medible de una capacidad de proceso

aplicable a cualquier proceso.

Calidad:

Una actividad o proceso probado que se ha puesto en práctica con éxito por

múltiples empresas y se ha demostrado que produce resultados fiables.

Catálogo de servicios:

Factores externos e internos que inician y afectan cómo la empresa o el

individuo actúan o cambian.

Brecha:

Es la diferencia mínima, parcial o significativa de una actividad evaluada al

cumplir con varios requisitos de la mencionada evaluación

Cobit:

Conocido antiguamente como Objetivos de Control para Información y

Tecnologías Relacionadas (COBIT); usado actualmente solo como un acrónimo

en su quinta revisión. Un marco completo, internacionalmente aceptado, para el

gobierno y la gestión de la información de la empresa y la tecnología de la

información (TI) que soporta a los ejecutivos de la empresa y los gestores en la

definición y consecución de las metas de negocio y las metas de TI

relacionadas.

COBIT describe cinco principios y siete facilitadores que dan soporte a las

empresas en el desarrollo, implementación y mejora continua y supervisión de

buenas prácticas relacionadas con el gobierno y la gestión de TI.


Nota de alcance: Las versiones previas de COBIT se enfocaban en objetivos de

control relacionados con los procesos de TI, gestión y control de los procesos

de TI y aspectos del gobierno de TI. La adopción y el uso del marco COBIT se

ve apoyada por una creciente familia de productos de soporte. (Vea

www.isaca.org/cobit para más información).

Continuidad de negocio:

Evitar, mitigar y recuperarse de una interrupción. Se puede usar en este

contexto también los términos “planificación de la restauración del negocio”,

“planificación para recuperación de desastres” y “planificación de las

contingencias”; se enfocan en los aspectos de la recuperación dentro de la

continuidad.

Control:

Los medios para gestionar el riesgo, incluyendo políticas, procedimientos,

directrices, prácticas o estructuras organizativas, que pueden tener una

naturaleza administrativa, técnica, de gestión, o legal. También usada como

sinónimo de salvaguarda o contramedida

Control de procesos de Negocio:

Las políticas, procedimientos, prácticas y estructuras organizativas diseñadas

para generar garantías razonables de que un proceso de negocios conseguirá

sus objetivos

Cultura:

Un patrón de comportamientos, creencias, hipótesis, actitudes y formas de

hacer las cosas

Estructura organizativa:

Un catalizador del gobierno y de la gestión. Incluye la empresa y sus

estructuras, jerarquías y dependencias.


Gestión:

Incluye el uso juicioso de medios (recursos, personas procesos, prácticas, etc.)

para conseguir un fin identificado. Es un medio o instrumento mediante el cual

el grupo que gobierna consigue un resultado u objetivo. La gestión es

responsable de la ejecución dentro de la dirección establecida por el grupo que

gobierna. La gestión se refiere a las actividades operacionales de planificación,

construcción, organización y control que alinean con la dirección que establece

el grupo que gobierna y la información sobre dichas actividades

Gestión de riesgos:

Uno de los objetivos de gobierno. Requiere reconocer un riesgo; evaluar su

impacto y probabilidad; y desarrollar estrategias, como, por ejemplo, evitar el

riesgo, reduciendo el efecto negativo de riesgo y/o transfiriendo el riesgo, para

gestionarlo en el contexto del apetito de riesgo de una empresa.

Gobierno:

El marco, principios y políticas, estructuras, procesos y prácticas, información,

habilidades, cultura, ética y comportamiento que establecen la dirección y

verifican que cumplimiento y rendimiento de una empresa están alineados con

el propósito general y los objetivos definidos. El gobierno define quién tiene la

responsabilidad última de que las cosas se hagan, la responsabilidad y la

capacidad de decisión (entre otros elementos).

Gobierno de TI empresarial:

Un enfoque de gobierno que garantiza que las tecnologías de información y las

relacionadas soportan y habilitan la estrategia de la empresa y la consecución

de las metas corporativas. También incluye el gobierno funcional de TI, por

ejemplo, garantizando que las capacidades de TI son provistas de forma

eficiente y efectiva


Holístico:

La holística es aquello perteneciente al holismo, una tendencia o corriente que

analiza los eventos desde el punto de vista de las múltiples interacciones que

los caracterizan. El holismo supone que todas las propiedades de un sistema no

pueden ser determinadas o explicadas como la suma de sus componentes. En

otras palabras, el holismo considera que el sistema completo se comporta de un

modo distinto que la suma de sus partes. Es decir el todo es mayor que la suma

de sus partes y enfatiza la importancia del todo, que es más grande que la

suma de las partes.

Información:

Un activo que, como cualquier otro activo importante de negocio, es esencial

para el negocio de una empresa. Puede existir de muchas formas: impreso o

escrito en papel, almacenado electrónicamente, transmitido por correo o de

forma electrónica, mostrado en películas o hablado durante una conversación

Isaca:

Isaca es el acrónimo de Information Systems Audit and Control Association

(Asociación de Auditoría y Control de Sistemas de Información), una asociación

internacional que apoya y patrocina el desarrollo de metodologías y

certificaciones para la realización de actividades auditoría y control en sistemas

de información.

ISO / EC 15504:

El ISO/IEC 15504, también conocido como Software Process Improvement

Capability Determination, abreviado SPICE, en español, «Determinación de la

Capacidad de Mejora del Proceso de Software» es un modelo para la mejora y

evaluación de los procesos de desarrollo y mantenimiento de sistemas de

información y productos de software.


Métrica:

Una entidad cuantificable que permite la medida de la consecución de una meta

de proceso. Las métricas deben ser Específicas, Medibles, Accionables,

Relevantes, Oportunas (SMART).

Objetivo de negocio:

La traducción de la misión de la empresa desde una expresión de intenciones a

unas metas de rendimiento y resultados

Objetivo de proceso:

Una declaración describiendo el resultado deseado de un proceso. Un resultado

puede ser un elemento, un cambio significativo de estado o una mejora de

capacidad significativa de otro proceso.

Objetivo de TI:

Una declaración describiendo el resultado deseado de las TI empresariales

como soporte a los objetivos de la empresa. Un resultado puede ser un

elemento, un cambio significativo de estado o una mejora de capacidades

significativa.

Optimización de recursos:

Uno de los objetivos del gobierno. Incluye un uso efectivo, eficiente y

responsable de todos los recursos--humanos, financieros, equipamiento,

inmuebles, etc.

Política:

Intención y dirección global según se expresa formalmente por los gestores.


Proceso:

Generalmente, una colección de prácticas influenciadas por las políticas y

procedimientos de la empresa que toma entradas de una serie de fuentes

(incluyendo otros procesos), manipula esas entradas y genera salidas (por

ejemplo, productos, servicios)

Propietario:

Individuo o grupo que sustenta o posee los derechos de y las responsabilidades

para una empresa, entidad o activo, por ejemplo, un propietario de negocio, un

propietario de un sistema

Recurso:

Cualquier activo de la empresa que puede ayudar a la organización a conseguir

sus objetivos.

Riesgo:

La combinación de la probabilidad de un evento y sus consecuencias.

Servicio TI:

La provisión diaria a clientes de la infraestructura y de las aplicaciones TI y del

soporte para su uso. Los ejemplos incluyen el centro de servicios, la provisión

de equipamiento y los movimientos, y las autorizaciones de seguridad

Sistema de control interno:

Las políticas, estándares, planes y procedimientos y las estructuras

organizativas diseñadas para proveer una garantía razonable de que los

objetivos de la empresa van a conseguirse y de que los eventos no deseados

serán evitados o detectados y subsanados


TI:

Tecnología de información abarca toda la infraestructura tecnológica para crear,

guardar, usar e intercambiar información, aplicando las ciencias de la

computación, las telecomunicaciones y la técnica para el procesamiento de

información


ANEXOS


Anexo Nro. 1

Mapa Mental de la Situación Problemática

Situación Problemática:

Elevado índice de insatisfacción de los usuarios por los servicios que brinda el

departamento de TI de la empresa agroindustrial GRANOS.

Posibles Causas:

- Existe mucha demora en la atención a una solicitud de soporte por parte

de los usuarios.

- Cuando un departamento solicita la compra de algún equipo de

computación, este demora mucho en llegar.

- Existe mucha improvisación en la solución a los problemas que surgen

repentinamente en el día a día.

- No existe documentación de los procesos y procedimientos que

actualmente se aplican dentro del departamento de TI.

- Existe saturación de trabajo en las personas que trabajan en el

departamento de TI.

- No existen procedimientos para el registro de requerimientos de los

usuarios, en consecuencia estos no se documentan.

- No existe procedimientos para la solicitud de equipos de computación.

- No se lleva un buen control ni existe registro de las atenciones de

soporte a los usuarios.

- Los nuevos requerimientos y nuevos proyectos demoran mucho en ser

entregados.

- Los proyectos no son bien dimensionados lo que lleva a un mayor tiempo

de desarrollo.

Consecuencias:

- Uso no apropiado de los recursos de TI

- Excesiva inversión en recursos tecnológicos

- Pérdida del control de los procesos principales del negocio.


- Excesivo gasto innecesario de recursos humanos del departamento de TI

- Usuarios insatisfechos

- Resistencia de los usuarios a utilizar los servicios que brinda el

departamento TI.

- Despido de personal del departamento de TI

Oportunidades:

- Existe la información y se tiene la autorización necesaria para tener

acceso a la información del objeto de estudio en la empresa GRANOS.

Factor Principal

- Falta de control y procedimientos de medición de la calidad de los

servicios que brinda el departamento de TI.

Situación Deseada:

Bajo índice de insatisfacción de los usuarios por los servicios que brinda el

departamento de TI de la empresa agroindustrial GRANOS


Anexo Nro. 2

Formulario de Encuesta Nro. 1

FECHA DE LA ENCUESTA

HOJA

DE

01 OCT 2016 1 1

Nombre de la Encuesta Metas de negocios de Granos vs Metas corporativas de COBIT 5

Evaluador: Julio César Becerra

Personal Evaluado Jefe de Comercialización, Jefe de Exportación, Jefe de Control de Calidad, Jefe de Finanzas y Jefe de Producción

Departamento o Área Comercialización, Exportación, Control de Calidad, Finanzas y Producción

METAS CORPORATIVAS COBIT 5

Valo

r para

las p

art

es inte

resadas d

e la

s in

vers

iones d

e

Negocio

. C

art

era

de p

roducto

s y

serv

icio

s c

om

petitivos.

Rie

sgos d

e n

egocio

s g

estio

nados (

salv

aguard

a los a

ctivos)

Cum

plim

iento

de leyes y

regula

cio

nes e

xte

rnas

Tra

nspare

ncia

fin

ancie

ra.

Cultura

de s

erv

icio

orie

nta

da a

l clie

nte

.

Contin

uid

ad y

dis

ponib

ilidad d

el serv

icio

de n

egocio

.

Respuesta

s á

gile

s a

un e

nto

rno d

e n

egocio

cam

bia

nte

.

To

ma e

str

até

gic

a d

e d

ecis

iones b

asada e

n info

rma

ció

n.

Optim

izació

n d

e c

osto

s d

e e

ntr

ega d

e s

erv

icio

s.

Optim

izació

n d

e la

funcio

nalid

ad d

e lo

s p

rocesos d

e n

egocio

.

Optim

izació

n d

e lo

s c

osto

s d

e los p

rocesos d

e n

egocio

.

Pro

gra

ma

s g

estio

nados d

e c

am

bio

en e

l negocio

Pro

ductivid

ad o

pera

cio

nal y d

e lo

s e

mp

leados

Cum

plim

iento

con las p

olíticas inte

rnas.

Pers

onas p

repara

das y

mo

tivadas.

Cultura

de in

novació

n d

el pro

ducto

y d

el negocio

.

ID

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

ID

Metas del Negocio: Objetivos

Empresariales de Granos

FINANCIERAS

CLIENTE

INTERNA

A&C

OBJ01 Incrementar las utilidades de la empresa

OBJ02 Lograr objetivos de ventas

OBJ03 Cumplir, o cuando sea, posible, rebasar

las exigencias del cliente

OBJ04 Promover la eficiencia a través de

procesos adecuados

OBJ05 Capacitar al personal para trabajar con la

eficiencia y calidad

OBJ06 Incrementar la participación del mercado

local e internacional

PUNTUACIÓN


Anexo Nro. 3



HOJA

DE

01 OCT 2016 1 1

Nombre de la Encuesta Metas de corporativas COBIT 5 vs Metas de TI COBIT 5


Personal Evaluado Todo el personal de sistemas

Departamento o Área Departamento de Sistemas

METAS DE TI PROPUESTAS POR COBIT 5

Alin

ea

mie

nto

de T

I y la

estr

ate

gia

de

ne

go

cio

Cum

plim

ien

to y

so

po

rte

de

la T

I a

l cu

mp

limie

nto

de

l n

eg

ocio

de

la

s le

ye

s y

re

gu

lacio

ne

s

exte

rna

s

Com

pro

mis

o d

e la

dir

ecció

n e

jecu

tiva

para

tom

ar

de

cis

ion

es r

ela

cio

na

da

s c

on

TI

Rie

sg

os d

e n

eg

ocio

re

lacio

na

do

s c

on

la

s T

I ge

stio

na

do

s

Rea

liza

ció

n d

e b

en

eficio

s d

el p

ort

afo

lio d

e In

ve

rsio

ne

s y

Se

rvic

ios r

ela

cio

na

do

s c

on la

s T

I

Tra

nspa

ren

cia

de

lo

s c

oste

s,

be

ne

ficio

s y

rie

sg

os d

e la

s T

I

En

tre

ga

de

se

rvic

ios d

e T

I de

acu

erd

o a

lo

s r

eq

uis

ito

s d

el n

eg

ocio

Uso a

de

cu

ado

de

ap

lica

cio

ne

s,

info

rma

ció

n y

so

lucio

ne

s t

ecno

lóg

icas

Ag

ilida

d d

e la

s T

I

Se

gu

rida

d d

e la

in

form

ació

n, in

fra

estr

uctu

ra d

e p

roce

sam

ien

to y

ap

lica

cio

ne

s

Op

tim

izació

n d

e a

ctivo

s, re

cu

rso

s y

ca

pa

cid

ad

es d

e la

s T

I

Cap

acita

ció

n y

sop

ort

e d

e p

roce

so

s d

e n

eg

ocio

inte

gra

nd

o a

plic

acio

ne

s y

tecn

olo

gía

en

pro

ce

so

s d

e n

eg

ocio

En

tre

ga

de

Pro

gra

ma

s q

ue

pro

po

rcio

ne

n b

ene

ficio

s a

tie

mpo

, d

en

tro

de

l p

resup

ue

sto

y

sa

tisfa

cie

nd

o lo

s r

eq

uis

ito

s y

no

rma

s d

e c

alid

ad

.

Dis

po

nib

ilid

ad

de

in

form

ació

n ú

til y r

ele

va

nte

pa

ra la

to

ma

de

de

cis

ion

es

Cum

plim

ien

to d

e la

s p

olítica

s in

tern

as p

or

part

e d

e la

s T

I

Pe

rso

na

l d

el ne

go

cio

y d

e la

s T

I co

mp

ete

nte

y m

otiva

do

Con

ocim

ien

to, e

xp

eri

en

cia

e in

icia

tiva

s p

ara

la

in

no

va

ció

n d

e n

ego

cio

ID 1

2

3

4

5

6

7

8

9

1 0

1 1

1 2

1 3

1 4

1 5

1 6

1 7

ID Metas Corporativas FINANCIERAS CLI. INTERNA A&C

1 Valor para las partes interesadas de las

inversiones de Negocio.

2 Cartera de productos y servicios

competitivos.

7 Continuidad y disponibilidad del servicio de

negocio.

8 Respuestas ágiles a un entorno de negocio

cambiante

9 Toma estratégica de decisiones basada en

información.

12 Optimización de los costos de los procesos

de negocio

14 Productividad operacional y de los

empleados

16 Personas preparadas y motivadas.

17 Cultura de innovación del producto y del

negocio.

PUNTUACIÓN


Anexo Nro. 4



HOJA

DE

01 OCT 2016 1 1

Nombre de la Encuesta


Personal Evaluado Todo el personal de sistemas

Departamento o Área Departamento de Sistemas

Empresa: Granos

Metas de TI Relevantes

Alin

ea

mie

nto

de

TI

y la

estr

ate

gia

de n

ego

cio

Com

pro

mis

o d

e la

dir

ecció

n e

jecutiva

para

to

ma

r d

ecis

ione

s

rela

cio

nad

as c

on T

I

Entr

ega

de

se

rvic

ios d

e T

I d

e a

cu

erd

o a

los r

equis

itos d

el ne

gocio

Uso a

decua

do d

e a

plic

acio

ne

s, in

form

ació

n y

solu

cio

nes t

ecnoló

gic

as

Agili

da

d d

e las T

I

Optim

izació

n d

e a

ctivos,

recurs

os y

ca

pacid

ad

es d

e las T

I

Entr

ega

de

Pro

gra

mas q

ue

pro

porc

ion

en b

en

eficio

s a

tie

mp

o,

den

tro

del pre

sup

uesto

y s

atisfa

cie

ndo los r

eq

uis

itos y

norm

as d

e c

alid

ad.

Dis

po

nib

ilid

ad d

e info

rmació

n ú

til y r

ele

vante

para

la

to

ma d

e

decis

ione

s

Pers

onal del ne

gocio

y d

e las T

I co

mpe

tente

y m

otiva

do

Cono

cim

iento

, exp

erie

ncia

e inic

iativas p

ara

la

inn

ova

ció

n d

e n

eg

ocio

Sector 1 3 7 8 9 11 13 14 16 17

ID

Procesos

Financiera

Cliente

Interna

A&C

Tot.

Evalu

ar,

Ori

en

tar

y

Su

pe

rvis

ar

EDM01 Asegurar el establecimiento y mantenimiento del Marco de Gobierno

EDM02 Asegurar la Entrega de Beneficios

EDM03 Asegurar la Optimización de Riesgos

EDM04 Asegurar la Optimización de los Recursos

EDM05 Asegurar la transparencia hacia las partes Interesadas

Ali

ne

ar,

Pla

nif

icar

y

Org

an

izar


APO02 Gestionar la Estrategia


APO04 Gestionar la Innovación

APO05 Gestionar el Portafolio

APO06 Gestionar el Presupuesto y los costos


APO07 Gestionar los Recursos Humanos

APO08 Gestionar las Relaciones

APO09 Gestionar los acuerdos de Servicio

APO10 Gestionar los Proveedores

APO11 Gestionar la Calidad

APO12 Gestionar el Riesgo

APO13 Gestionar la Seguridad

Co

ns

tru

ir, A

dq

uir

ir e

Im

ple

men

tar

BAI01 Gestionar los Programas y Proyectos


BAI03 Gestionar la Identificación y la Construcción de Soluciones


BAI05 Gestionar la Introducción de cambios Organizativos

BAI06 Gestionar los Cambios BAI07 Gestionar la Aceptación del

Cambio y de la Transición

BAI08 Gestionar el Conocimiento BAI09 Gestionar los Activos BAI10 Gestionar la Configuración

En

treg

ar,

da

r S

erv

icio

y S

op

ort

e

DSS01 Gestionar las Operaciones DSS02 Gestionar las Peticiones y los

Incidentes del Servicio

DSS03 Gestionar Los Problemas DSS04 Gestionar la Continuidad DSS05 Gestionar los Servicios de

Seguridad

DSS06 Gestionar los controles de los procesos del Negocio

Su

pe

rvis

ar,

Evalu

ar

y V

alo

rar MEA01 Supervisar, Evaluar y Valorar

Rendimiento y Conformidad


MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos


Anexo Nro. 5

FORMULARIO NRO. 4: Inventario de Actividades

Fecha: [1] Código [2] Dominio [3] Nombre del Proceso

[4]

Nombre de la Actividad o Proceso del Diagrama de Flujo

Responsable Entradas Salidas

[5] [6] [7] [8]


Anexo Nro. 6

FORMULARIO NRO. 7: Cumplimiento del proceso Código Proceso Nombre del Proceso Fecha Última Actualización

Elaborado por

Definido Documentado Comunicado Implantado Actualizado Monitoreado Prácticas de Gobierno y

Gestión % Obs. % Obs. % Obs. % Obs. % Obs. % Obs. Fecha Próxima

Revisión

Dueño del Proceso Analista de Sistemas ----------------- Responsable Proceso Jefe de TI ------------------------ Controlador Jefe de TI ----------------- Cliente ------------------------ Proveedor -----------------