Firmani y Grandón Propuesta de Modelo de Gobierno TI

Propuesta de Modelo de Gobierno TI para

Empresa de Servicios Sanitarios de Chile
Emergent Research Forum paper
Débora Firmani Elizabeth E. Grandón
Universidad del Bío-Bío Universidad del Bío-Bío
deborafirmani@alumnos.ubiobio.cl egrandon@ubiobio.cl

Resumen
La implementación de un gobierno de TI efectivo en las empresas es un gran desafío para los gerentes de
informática. La mayoría de los marcos existentes de gobierno TI comprenden elementos que no son
aplicables para cierto tipo de empresas, o bien, adolecen de otros elementos que se deberían considerar.
El reto para las instituciones es, por tanto, poder adecuar los modelos existentes de acuerdo a sus propias
necesidades. En este estudio, se revisan dos modelos: COBIT en sus versiones 4.1 y 5 y la norma
ISO38500. Luego de recopilar información en una importante empresa de servicios sanitarios de Chile, se
propone un modelo de gobierno TI específico basado en los modelos antes mencionados. La propuesta
contempla la implementación del modelo en una etapa posterior y su refinación para ser utilizado en
instituciones de similar naturaleza.

Palabras Clave

Gobierno TI, COBIT, ISO 38500, Creación de Valor.

Introducción
Las tecnologías de la información (TI) juegan un rol preponderante en las organizaciones, toda vez que
una administración adecuada y precisa de la información puede llevar a la empresa a tomar ventaja
competitiva (Laudon y Laudon, 2012; Mangalaraj, Singh y Taneja, 2014). Se hizo necesario establecer
estándares que guiaran el uso de estas tecnologías y permitieran un control en su diario bregar. En este
contexto han surgido marcos de trabajo que tienen como meta ordenar el uso de las TI y que el servicio
que prestan esté de acuerdo a los objetivos corporativos (COBIT, ITIL, normas ISO 2000 y 27000, Six
Sigma y PMI/PMBOK, entre otros).
Para llevar a cabo este trabajo, se estudiaron los marcos de gobierno más citados dentro de la literatura
(Smits y Van Hillergersberg, 2013; Mangalaraj, Singh y Taheja, 2014): COBIT en las versiones 4.1 y 5 y la
norma ISO 38500. Una vez que se exponen los conceptos bases de dichos modelos, se propone un nuevo
marco de gobierno TI considerando la situación actual de la organización en estudio. Esta propuesta
extrae de los modelos anteriormente citados, ideas, principios, conceptos y procesos. Se pretende que el
modelo propuesto sirva de base para la implementación de gobierno TI a otras empresas con
características similares y cuyo enfoque sea orientado a procesos.

Marco Teórico
Existe una numerosa lista de estándares y/o marcos de trabajo que apoyan la organización de las TI en las
empresas (Lee y Changjin, 2009; Novotny, Bernroider y Koch, 2012; Weill y Ross, 2005), sin embargo se
hace necesario establecer una estructura que defina toda la organización TI en forma comprensiva. A esta
estructura se le denomina gobierno TI, más específicamente, y tal como lo definen Jaeger-Neto et al.
(2009), el gobierno de TI es el uso de las mejores prácticas y procesos organizacionales que buscan un
comportamiento deseable para que las TI ayuden a la realización de las estrategias definidas para obtener
el éxito empresarial. Para Weill & Ross (2006) el gobierno TI, a diferencia de la operación y
administración TI, pone énfasis en la toma de decisiones para cumplir los objetivos locales y corporativos
en el contexto de los procesos de negocio y los proyectos de TI. Similarmente, Fernándes y Abreu (2008)

Twenty-first Americas Conference on Information Systems, Puerto Rico, 2015 1

Firmani y Grandón Propuesta de Modelo de Gobierno TI

indican que el gobierno de TI busca participación en las decisiones de TI con otros directivos de la
organización, así como establecer las normas, la organización y los procesos que guían el uso de las
Tecnologías de la Información y Comunicación (TICs) por los usuarios, departamentos, unidades de
negocio, proveedores y clientes. En base a los contextos anteriores, en este estudio se define gobierno TI
como una estructura de relaciones y procesos para dirigir y controlar las tecnologías de la información con
el fin de garantizar que éstas soportan y habilitan la estrategia de la empresa y el logro de sus objetivos.
El buen desempeño del gobierno de TI trae buenos resultados para la organización. Según Bowen et al.
(2007), la gestión de los recursos de TI ayuda a conseguir el éxito de la organización y un gobierno de TI
eficaz genera beneficios reales para la organización. De ahí la importancia de la definición de un modelo
eficaz y eficiente que pueda ser aplicado por las empresas. Sin embargo, existen diferentes perspectivas
de cómo llevar a cabo el gobierno TI. Smits y Van Hillergersberg (2013) efectuaron un estudio que
investigó cuál línea de gobierno de TI se alinea mejor a las prácticas actuales e indagan sobre la
discrepancia entre teoría y práctica. Concluyen que los responsables de las TI deben tomar los marcos de
referencia respecto de gobierno TI existentes y adaptarlos según las necesidades propias de su
organización. Deben considerar los valores y principios de la organización para que determinen los
valores y principios que debieran tener su propio marco de gobierno TI.

COBIT 4.1
Este marco de gobierno TI fue creado por el ISACA como una guía para la gestión de TI, organizada con el
fin de monitorear el desempeño de las TI, asegurando que los recursos de TI están alineados de manera
efectiva con la estrategia del negocio de la organización. El modelo está representado en un cubo cuyas
caras están relacionadas entre sí, como se muestra en la Figura 1. El modelo identifica cuatro dominios:
Planificar y Organizar, Adquirir e Implementar, Entrega y Soporte, y Monitorear y Evaluar (Souza N &
Ferreira N, 2013; ITGI, 2007). En la capa superior de requerimientos del negocio, el modelo propuesto
por COBIT 4.1 establece que para satisfacer los objetivos del mismo, la información tiene que ajustarse a
criterios de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad. La capa lateral se vincula a las dimensiones anteriores en aspectos relacionados con los
recursos de TI: aplicaciones, información, infraestructura y personas.

Figura 1: Cubo de COBIT 4.1. (ITGI, 2007)

ISO/IEC 38500:2000
La Norma ISO 38500 es un estándar internacional que provee directrices para el gobierno corporativo de
TI y ayuda a los miembros de altos niveles de una organización a entender y cumplir cabalmente sus
obligaciones legales, regulatorias y éticas respecto del uso de TI en las organizaciones. Esta norma define
el gobierno de TI como el sistema usado por la alta dirección de la organización para controlar el uso
presente y futuro de las TI en la organización, de manera que se consigan los planes y objetivos de la
misma. La Norma se basa en que la alta dirección evalúe, dirija y monitoree (Figura 2) el uso que se hace
de las TI en sus organizaciones. No obstante, estas son directrices generales y no indican algún tipo de
actividades, entradas, salidas, ni proceso alguno para indicar el cómo se utilizarán, sino que tiene como
fin indicar el “qué” debe cumplirse, dejando a criterio de los usuarios el “cómo”.

Twenty-first Americas Conference on Information Systems, Puerto Rico, 2015 2

Firmani y Grandón Propuesta de Modelo de Gobierno TI

Figura 2: Modelo de gobierno corporativo de TIC ISO/IEC 38500:2000 (ISO/IEC, 2008)

COBIT 5
COBIT 5 no es un marco aislado, sino que se alinea a las versiones de COBIT anteriores y algunos
estándares como ISO 38500:2000, ISO 1550, y VALIT. Este marco se construye en torno a cinco
principios básicos: Necesidades de las partes interesadas que involucra la estrategia del
negocio/alineamiento de TI, cubrir la empresa de extremo a extremo, aplicar un marco de referencia
único integrado, permitir un enfoque holístico y separar el gobierno de la gestión. Tal como lo indican
Mangalaraj, Singh y Taneja (2014), investigación asociada a COBIT y gobierno de TI es importante ya que
la mayoría de las empresas no han establecido un adecuado control sobre las TI y las TI son parte
fundamental del rendimiento del negocio.

Método de Investigación
El estudio se basa en un método de investigación cuantitativo con un caso de estudio interpretativo (Klein
and Myers, 1999). Desarrolla un entendimiento del fenómeno de interés a través de entrevistas
semiestructuradas, emails, estadías en situ y observación personal, como métodos de recolección de
datos. Así fue posible entender y documentar los procesos de negocio involucrados en la organización y
que son la base para la definición de la propuesta del modelo de gobernabilidad. Por lo limitado del
espacio no se adjuntan los resultados de las entrevistas y la información de respaldo recabada durante los
cuatro meses de estadía en la empresa. Este método de investigación es similar al utilizado por Saetang y
Haider (2013) en su estudio asociado a gobierno de TI en la industria del retail en Australia.

Caso de Estudio

La organización en estudio corresponde a la segunda empresa de servicios sanitarios más importante de

Chile (SISS, 2013), cuya visión es ser un operador de clase mundial en servicios sanitarios al que sus
clientes elegirían por su eficiencia y alta calidad de servicio. Por su parte, la Subgerencia de Informática, a
la cual se le realiza esta propuesta, alinea su visión a la visión institucional. Considerando que dentro de
su misión contempla generar soluciones con base tecnológica, alineadas al plan estratégico y objetivos de
la compañía, que permitan una optimización constante de los procesos de negocio, la propuesta, a pesar
de enmarcarse en la Subgerencia de Informática, abarca a gran parte de la organización. Esta Subgerencia
está conformada por cinco departamentos y su meta es generar valor al negocio de una forma medible y
capitalizable.

Twenty-first Americas Conference on Information Systems, Puerto Rico, 2015 3

Firmani y Grandón Propuesta de Modelo de Gobierno TI

Propuesta
De acuerdo a lo indicado por los entrevistados, es necesario incorporar un modelo formal que indique
directrices claras para dirigir las TI en la compañía. Indicaron además que la empresa tiene un “modus
operandi” que funciona, y aunque no es perfecto, da confianza. Por lo tanto, hacer un cambio y
reestructuración total no es recomendable. Para esto, es importante inculcar una cultura de gobierno TI
primero con un modelo simple y que esté acorde a aquellos procesos eficaces en el funcionamiento de la
organización, para a posteriori, solidificar las prácticas de un gobierno TI más completo. En base al
planteamiento anteriormente expuesto por los interesados, se realizó una propuesta de un modelo que
incluye conceptos ya utilizados por la Subgerencia de Informática de la empresa en estudio el cual adapta
o incorpora procesos que son eficaces y eficientes en la marcha actual de la Subgerencia. De esta forma, el
modelo propuesto cuenta, desde su etapa inicial, con un entendimiento natural de los participantes.

Como resultado de las entrevistas realizadas y en base a la definición de gobierno TI anteriormente

planteada, se propone una pirámide de tres caras (Figuras 3 y 4): la primera cara define la estructura de
relaciones y en base a qué principios se fundamentan. La segunda cara define los niveles de dirección y
control. Por último, la tercera cara establece la estructura de procesos definidos.

Figura 3: Pirámide de Gobierno - Estructura Organizacional y Niveles de Gobierno

(elaboración propia)

Estructura Organizacional
Esta estructura está basada en el modelo de organización definido por el área informática del caso de
estudio, apoyándose en principios que sean medibles y a su vez que abarquen toda la estructura
organizativa. Estos principios están fundados primordialmente en la norma ISO 38500 y corresponden a
Soluciones de Negocio (SN), Alineación estratégica (AE), Responsabilidad (Re), Adquisición (Ad), Unidad
de Servicios de Negocio (USN y Conformidad (Co). Contempla cinco áreas: como plataforma se encuentra
“calidad y seguridad” que debe proveer políticas y procesos que se ejecuten en toda la Subgerencia; luego
se encuentran las áreas de “infraestructura” y “servicios de negocio”, esta última ubicada más cerca de la
cúspide ya que su objetivo se acerca a brindarle valor al negocio. El alcance de cada una de las áreas está
definido según lo plantee la misma organización.

Niveles de Gobierno TI

La propuesta consta de tres niveles: estratégico (encargado de la priorización y toma de decisiones con
respecto de las TI en la compañía), administrativo (responsable de definir el “cómo” se llevan a cabo las
decisiones emanadas del nivel estratégico) y operacional (ejecuta los procesos definidos y devuelve las
salidas al nivel administrativo).

Twenty-first Americas Conference on Information Systems, Puerto Rico, 2015 4

Firmani y Grandón Propuesta de Modelo de Gobierno TI

Figura 4: Pirámide de Gobierno TI - Niveles de Gobierno y Dominios de Gobierno

(elaboración propia)

Dominios de Gobierno TI
Los dominios de gobiernos se agrupan de acuerdo a los niveles de gobierno descritos anteriormente, los
que posteriormente se derivan en procesos.
El nivel estratégico contiene tres dominios, los cuales están basados en la norma ISO 38500:
• Evaluar (E): Procesos que tienen como objetivo examinar y juzgar sobre el uso actual y futuro de
las TI, incluyendo estrategias, propuestas y acuerdos de suministro.
• Dirigir (D): Procesos que determinan la asignación de responsabilidades, y la preparación directa
y aplicación de los planes y políticas que se implementen. El objetivo es asegurar la correcta
transición de los proyectos a la producción.
• Monitorizar (M): Estos procesos se llevan a cabo para vigilar el rendimiento de las TI. Deben
asegurar que el rendimiento está en conformidad con los planes, en particular con respecto a los
objetivos del negocio.

El nivel administrativo agrupa dos dominios, los cuales se adhieren del modelo de gobierno COBIT 4.1:
• Planificar y organizar: Este dominio contiene procesos enfocados en las tácticas de TI para
contribuir con los objetivos planteados en el nivel estratégico.
• Construir e implementar: Centrado en la aplicación de la estrategia de TI. Las soluciones de TI se
desarrollan, adquieren, implementan e integran con los procesos de negocio.

El nivel operacional de gobierno contiene dos dominios, que al igual que el nivel anterior, están adheridos
del modelo de gobierno COBIT 4.1:
• Entregar y dar soporte: centrado en temas relacionados con la entrega de los servicios en sí, lo
que incluye la prestación de servicios, administración de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la administración de los datos y de las instalaciones
operativas.
• Supervisar y evaluar: tiene como objetivos el evaluar los procesos de TI desde el punto de vista de
la calidad y el cumplimiento, de los requisitos de control con regularidad, abarcando la
administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la
aplicación del gobierno.

Procesos

Los procesos son la célula de este modelo, ya que a través de ellos es posible ejecutarlo. Por lo tanto, este
modelo cuenta con un conjunto de procesos categorizados según los conceptos planteados en la pirámide.

Twenty-first Americas Conference on Information Systems, Puerto Rico, 2015 5

Firmani y Grandón Propuesta de Modelo de Gobierno TI

En cada proceso se encuentra una definición y objetivo del mismo. De este modo cada proceso
corresponde a un “nivel de gobierno” y luego a un “dominio de gobierno” de la pirámide anteriormente
descrita. Para guiar al usuario, se expone en cada proceso la pirámide que incluye las dos caras
mencionadas, indicando a cuál nivel de gobierno y a cuál dominio corresponde dicho proceso. Asimismo,
cada proceso también se enmarca en la cara de “estructura organizacional” de la pirámide. El modelo
refleja este aspecto con una matriz RACI en cada proceso. La matriz presenta las prácticas que deben
ejecutarse en el proceso y cuál es la labor de los involucrados indicada con una letra. Además cada proceso
especifica métricas que actúan como controladores del proceso. Por último, cada proceso tiene una tabla
que contiene las entradas y salidas para facilitar su comprensión y uso. El Anexo A contiene el ejemplo de
un proceso (definir el plan estratégico de TI) en el que se muestra los componentes anteriormente
señalados. Por limitaciones de espacio no se incluye el detalle de cada proceso.

Conclusiones
La necesidad de tener un gobierno TI adaptable a la organización es fundamental para aquellas empresas
que no conciben el gobierno TI como lo describen exactamente los marcos formales. Por lo tanto, el
asimilar lo mejor de cada modelo y adecuarlo es la opción que están tomando algunas empresas
actualmente. En este caso, se propuso una pirámide basada en los principios de la norma ISO 38500, pero
dejando de lado el factor humano, ya que este aspecto descansa en otras áreas de la empresa en cuestión.
Otros principios fueron renombrados, conservando su misma esencia de manera que los interesados se
sientan familiarizados con los conceptos que ya manejan y los cambios se asimilen de la manera más
positiva posible. Además de lo anterior, se expresan procesos de manera simple. Una vez que ya se ha
asimilado una cultura de gobierno TI, las empresas están dispuestas a reestructurar y ampliar lo que ya
existe a un modelo más elaborado. En una etapa posterior, el modelo propuesto será aplicado a la
empresa caso de estudio y se podría también adaptar a otras instituciones de similar naturaleza.

REFERENCIAS
Bowen, P., Cheung, M.-Y., and Rohde, F. 2007. “Enhancing IT governance practices: a model and case
study of an organization’s efforts,” Accounting Information Systems, (8:3), pp. 191-221.
Fernandes, A. A., and Abreu, V. F. 2008. implantando a Governança de TI - da Estratégia à Gestão de
Processos e Serviços (Segunda ed.). Rio de Janeiro: Brasport.
Isaca. 2009. The Risk IT Framework: Risk IT Based on COBIT. Rolling Meadows, IL: ISACA.
Isaca. 2010. Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. Rolling
Meadows, IL: ISACA.
Isaca. 2012. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.
Rolling Meadows, IL: ISACA.
Klein, H. and Myers, M. 1999. “A set of principles for conducting and evaluating interpretative field
studies in information systems”. MIS Quarterly, 23(1). pp. 67-93.
Laudon, K. y Laudon, J. 2012. Sistemas de Información Gerencial. (Décima segunda ed.). Naucalpan de
Juárez: México.
Lee, J. y Changjin, L. 2009. “IT Governance-Based IT Strategy and Management: Literature Review and
Future Research Directions”. Information Technology Governance and Service Management:
Frameworks and Adaptations. IGI Global, pp. 44-62.
ISO/IEC. 2008. ISO/IEC 38500 Corporate Governance of Information Technology. Geneva,
Switzerland.
ITGI. 2007. COBIT 4.1. Rolling Meadows, IL: IT Governance Institute.
ITGI. 2009. An executive view of IT Governance. Rolling Meadows, IL: IT Governance Institute.
ITGI. 2011. Board Briefing on IT Governance (Segunda ed.). Rolling Meadows, IL: IT Governance
Institute.
Jaeger-Neto., J. I., Luciano, E. M., Becker, C. A., and Testa, M. G. 2009. “The perception of operational
managers on the impacts on work processes after the implementation of best practices in IT
governance in the Regional Court of Santa Catarina (TRE/SC),” Revista de Administração
Pública, (8:1), pp. 1-18.
Mangalaraj, G., Singh, A., and Taneja, A. 2014. “IT Governance Frameworks and COBIT – A literature
Review”. Twentieh Americas Conference on Information Systems, Savannah.

Twenty-first Americas Conference on Information Systems, Puerto Rico, 2015 6

Firmani y Grandón Propuesta de Modelo de Gobierno TI

Musson, D. 2009. “IT Governance: A critical review of the literature”. Information Technology
Governance and Service Management: Framework and Adaptations. IGI Global. pp. 63-81.
Novotny, A., Bernroider, E., y Koch, S. 2012. “Dimensions and Operationalisations of IT Governance: A
Literature Review and Meta- Case Study”, CONF-IRM 2012 Proceedings, Paper 23.
Saetang, S. and Haider, A. 2013. “IT Governance in the Supermarket retail Industry in a Global
Recession”. Proceedings of the Nineteenth Americas Conference on Information Systems,
Chicago, Illinois, August pp. 15-17.
Smits, D., and Van Hillergersberg, J. 2013. “The Continuing Mismatch Between IT Governance Theory
and Practice: Results from a Delphi study with CIO´s”. Proceedings of the Nineteenth Americas
Conference on Information Systems, Chicago, Illinois, August pp. 15-17.
SISS. Superintendencia de Servicios Sanitarios. 2013. “Informe de Gestión del Sector Sanitario 2013”.
Accesado de: www.siss.gob.cl/577/w3-article-10684.html, el 10 de febrero de 2015.
Souza N, J., and Ferreira N, A. N. 2013. “Metamodelo do framework COBIT de governança de TI,” Revista
de Gestão da Tecnologia e Sistemas de Informação, (10:3), pp. 521-540.
Weill, P. and Ross, W. 2005. “A Matrixed Approach to Designing IT Governance”, MIT Sloan
Management Review, 46(2), pp. 26-34.
Weill, P., and Ross, W. J. 2006. Governança de TI: como as empresas com melhor desempenho
administram os direitos decisórios de TI na busca por resultados superiores. São Paulo: Makron.

Anexo A: Descripción del Proceso Definir un Plan Estratégico de TI

Definición: Este proceso es necesario para gestionar y dirigir todos los recursos de TI de tal manera que
estén alineados con la estrategia y prioridades del negocio, que a su vez se deben reflejar en portafolios
que se ejecutan por planes estratégicos de TI que especifican objetivos concisos, planes de acción y tareas
entendidas por el negocio y por TI.

Objetivo: Responder a los requerimientos del negocio en alineación con la estrategia del negocio.

Principios de Gobierno TI involucrados

Soluciones de Negocio
Alineación Estratégica
Responsabilidad
Adquisición
Unidad de Servicios de Negocio
Conformidad

Figura 5. Nivel y Dominio de Proceso Tabla 1. Principios involucrados en

"Definir una Plan Estratégico de TI" Proceso "Definir un Plan Estratégico de
(elaboración propia) TI" (elaboración propia)

Matriz RACI*: Definir un Plan Estratégico

Jefe Soporte Corporativo SAP

Aseguramiento y Control de
Jefe Gestión de Procesos de

Jefe de Infraestructura TI
Jefe de Operaciones TI
Comité de Informática

Oficial de Seguridad
Subgerente TI

Negocio

Calidad

Prácticas

Twenty-first Americas Conference on Information Systems, Puerto Rico, 2015 7

Firmani y Grandón Propuesta de Modelo de Gobierno TI

1. Entender la dirección de la Organización A/R R R R R R R R

2. Evaluar el entorno actual, la capacidad y el R A/R C C C C C C

rendimiento del negocio y de TI (interno y
externo).
3. Definir las capacidades de TI a alcanzar. C A/R C C C C C C

4. Analizar las brechas. R A/R C C C C C C

5. Definir el plan estratégico y hoja de ruta. R A/R C C C C C C

6. Analizar portafolio de programas y administrar I A/R R R R R I I

portafolios de servicios y proyectos
7. Comunicar los objetivos y estrategia de TI y de la R A/R R R R R I I
compañía.
*La matriz RACI identifica quién es el Responsable, quien debe rendir cuentas (A), quien debe ser
Consultado y/o Informado.

Tabla 2. Matriz RACI Proceso "Definir un Plan Estratégico de TI" (elaboración propia)

Métricas:

• Grado del cumplimiento de requerimientos del Negocio.

• Porcentaje de objetivos de TI en el plan estratégico de TI que dan soporte al plan estratégico del
negocio.
• Porcentaje de proyectos TI en el portafolio que se pueden rastrear hacia la hoja de ruta del plan
estratégico.
• Retraso entre las actualizaciones del plan estratégico de TI y las actualizaciones de la hoja de ruta
del plan estratégico

Entradas y Salidas del Proceso:

Entradas del Proceso Salidas del Proceso

Estrategia y prioridades del negocio Plan estratégico de TI
Portafolio de programas Hoja de ruta del plan estratégico
Portafolio de proyectos Portafolio de proyectos de TI actualizado
Reporte con indicadores de desempeño de TI

Tabla 3. Entradas y Salidas de Proceso "Definir un Plan Estratégico de TI" (elaboración

propia)

Twenty-first Americas Conference on Information Systems, Puerto Rico, 2015 8