Documentos de Académico
Documentos de Profesional
Documentos de Cultura
____________
____________
____________
A mi madre por ser fuente de inspiración, y al resto de mi familia. A mis amigos en especial los
‘Onfos’ por estos 5 años y medio. A Jorge mi compañero de tesis por el esfuerzo en el último
trabajo. A iWolf, gran equipo de trabajo. Quisiera también agradecer a todos los profesores en
especial a los que nos hicieron la vida imposible pero más a los que nos dieron una mano. Por
último a los que nos ayudaron con el TFC Virginia Samán, Héctor Freile y el resto de
involucrados con sus comentarios y sugerencias. Muchas Gracias.
Juan Carlos
En la culminación de mi carrera universitaria mediante este TFC quiero agradecer a: mis padres
Jacqueline y Jorge por apoyarme, por darme su respaldo en absolutamente todo y por darme
las oportunidades. A mis abuelos Bella, Héctor y Cruz, que me acompaña en espíritu, por
enseñarme la lucha. A mis amigos de la Universidad, los IIG, que ahora son mucho más que
compañeros y que de ellos también he aprendido mucho durante esta carrera. A mi colegio,
Cristóbal Colón, que aún sigo aplicando lo que ahí aprendí. A los profesores de la Universidad,
los que fueron excelentes en enseñarnos las herramientas de la profesión y a los que nos
enseñaron mucho más. A la Universidad y a mi compañero de tesis Juan Carlos. Gracias.
Jorge
RESUMEN
ABSTRACT
Capítulo 5 Conclusiones............................................................................................... 79
De la Investigación ..................................................................................................... 79
Del IT Governance...................................................................................................... 79
De los estándares Internacionales ............................................................................... 80
De la evaluación de desempeño en la Empresa ABC .................................................... 81
Fallas encontradas en la Aplicación de la metodología MITG ........................................ 81
Recomendaciones para proyectos de implementación de IT Governance ..................... 82
Pronósticos y Tendencias ............................................................................................ 83
Referencias y Bibliografía............................................................................................ 87
Glosario ........................................................................................................................ 93
Capítulo 5 Conclusiones............................................................................................... 79
De la Investigación ..................................................................................................... 79
Del IT Governance...................................................................................................... 79
De los estándares Internacionales ............................................................................... 80
De la evaluación de desempeño en la Empresa ABC .................................................... 81
Fallas encontradas en la Aplicación de la metodología MITG ........................................ 81
Recomendaciones para proyectos de implementación de IT Governance ..................... 82
Pronósticos y Tendencias ............................................................................................ 83
Referencias y Bibliografía............................................................................................ 87
Glosario ........................................................................................................................ 93
Capítulo 1
Introducción
El tema de IT Governance 1 (Gobierno de TI) se ha hecho más y más popular durante la última
década. El interés creciente en IT Governance se ha dado por tendencias de negocio y eventos
que han ocurrido en los últimos años, tales como: e-business, globalización, reingeniería de
procesos de negocio, continuidad de negocio y la creciente notoriedad del concepto Corporate
Governance, término que ha ido aumentando énfasis en su popularidad por eventos como los
hechos ocurridos en las empresas Enron, Worldcom y Tyco (para nombrar algunas2), la salida
de regulaciones de control tal como Sarbanes & Oaxley3 en los Estados Unidos y Basel II4 en
Europa para alcanzar un mayor cumplimiento y control en las industrias. Todo esto ha traído
mayor énfasis y entendimiento del término Corporate Governance, y desde una perspectiva de
tecnologías de información esto requiere que los gerentes de tecnologías mejoren la gestión de
los activos de información. El IT Governance es más que controles y cumplimiento regulatorio,
tiene que ver con la generación y preservación de valor que dan las tecnologías al negocio.
De acuerdo a un estudio global realizado por el ITGI (IT Governance Institute, 2006) se puede
apreciar que más del 80% de los gerentes ejecutivos de tecnología están de acuerdo de la
importancia que entregan las TI para lograr los objetivos globales (ver Figura 1).
A pesar que se reconoce la importancia de las TI, el nivel gerencial ejecutivo no está
convencido del valor que entregan las TI, y por esto se las percibe como “un gasto necesario”
en vez de una inversión. Un síntoma clave de falta de visión de las TI es el hecho que la alta
dirección delegue toda responsabilidad de las TI a sus unidades de tecnologías y que el
desconocimiento técnico sea una excusa para desconectarse de las decisiones de TI.
El Centro de Investigación para Sistemas de Información (CISR) 5 del MIT indica que existen
key assets (‘recursos principales’ en este documento) cuya administración efectiva está
directamente ligada al logro de los objetivos del negocio (Weill, P. & Ross, J. 2004a. p. 6).
Estos recursos principales incluyen: recursos humanos, recursos financieros, físicos, y recursos
de TI.
Indiscutiblemente, la administración de cada recurso principal podrá tener características y
mecanismos de control y gestión únicos que no podrán ser utilizada sino en las áreas
especialmente dedicadas a ello; sin embargo la gobernabilidad corporativa debería buscar la
integración de estos mecanismos para todos estos recursos principales (e.g. la existencia de un
único mecanismo de aprobación para presupuestos, creación de manuales de uso,
procedimientos, políticas). Este documento se enfocará en la gestión y control de los recursos
de TI de manera que brinden valor al negocio de acuerdo a los objetivos estratégicos
planteados.
1.1 EL PROBLEMA
La junta directiva y los gerentes ejecutivos esperan que las tecnologías de información
proporcionen un valor diferenciador a su negocio, aumentando la eficiencia de sus procesos,
mejorando la productividad de la empresa, reduciendo los costos administrativos y ofreciendo
productos y servicios con valor agregado. Sin embargo sus expectativas no siempre son
alcanzadas y en su lugar se obtienen:
Pérdidas comerciales
Tecnología subutilizada/ obsoleta
Presupuestos excedidos
Plazos irrealistas
Esto ocurre porque no todas las empresas gestionan las Tecnologías de Información
adecuadamente. La Gestión de la Tecnología ha pasado de ser una actividad departamental y
de soporte a ser parte de la estrategia de negocio. Su nuevo papel en la empresa ha provocado
la aparición de nuevos retos para sus gestores y por lo tanto de nuevas tendencias de gestión
de la misma.
De acuerdo a una encuesta global realizada por ITGI a empresas de todo el mundo (IT
Governance Institute, 2006) se afirma que el 21% de las empresas que utilizan las tecnologías
de información para las operaciones de su negocio no tiene problemas con las TI. Esta
información indica que aún existe una gran mayoría de empresas que no logran controlar sus
TI.
Un hoyo negro 6 , se refiere a una fenómeno físico que consta de un objeto con un campo
gravitacional tan fuerte que atrae otras regiones físicas hasta desaparecerlas. Usando la
analogía, un hoyo negro de TI (IT Black Hole, en inglés) se refiere a las grandes inversiones
que se realizan a las tecnologías de información que parecen desaparecer sin dejar rastro (de
valor y retorno de inversión). En la Figura 3 se observa cómo factores que parecen acertados
en un principio pueden llevar a decisiones de inversión que resulten en un hoyo negro.
De lo anteriormente mencionado, es evidente que hoy en día las TI son necesarias para el éxito
de una empresa, sin embargo debido a su complejidad, deben ser gestionadas adecuadamente
brindando valor al negocio y evidenciando su aporte para obtener el respaldo y los recursos
necesarios.
Capítulo Objetivo
1. Introducción Presentar el TFC, la metodología de desarrollo y la base de conocimiento.
2. Importancia del control de Evidenciar la importancia que tienen las TI de un sistema de gestión que
Tecnologías de Información incluya la responsabilidad de la directiva.
Identificar los beneficios de IT Governance.
3. Modelo para la Dar a conocer el modelo de IT governance propuesto y sus diferentes fases y
Implementación de IT pasos.
Governance utilizando el IT BSC
4. Aplicación del Modelo de Aplicar el modelo propuesto en una organización y analizar su
Implementación de IT implementación de acuerdo al alcance definido
Governance
5. Conclusiones Recopilación de los puntos más importantes por capítulos
Bibliografía Brindar la fuente de datos en el que se baso el TFC
Anexos Información Adicional que soporta la memoria.
Apéndices Información Adicional que complementa temas de la memoria.
Tabla 1. Organización del TFC por capítulos
Para llegar al conocimiento que nos ha llevado a desarrollar este TFC hemos contado con las
siguientes fuentes de información:
Fuentes de Fuente Resultados
información
Biblioteca USM http://www.usm.edu.ec/biblioteca/index.php Recopilación de varias
estructuras de tesis, formato y
forma de redacción
Google Google Search Varias fuentes de información
Google Books incluyendo libros,
Google Scholar
ISACA Knowledge http://www.isaca.org/knet, fuente de información Papers, referencias, citas
NET para miembros del ISACA
EY Learning and Ernst & Young, colaborador implícito por las Experiencia profesional de los
Development capacitaciones y la experiencia profesional de ambos autores en ámbitos relacionados
System autores. al control de las TI.
Base Bibliográfica Una investigación inicial expandida nos permitió Libros, estudios, análisis,
obtener más de 60 bibliografías que fueron encuestas, etc.
registradas en nuestra Base Bibliográfica7 para
Expertos en el Algunos profesionales que tienen una experiencia Respuestas a preguntas o dudas
tema comprobable en consultorías e implementación de IT por correo o por vía telefónica.
Governance.
Tabla 2. Mayores fuentes de información
Una vez establecido el enfoque y los objetivos del TFC fue necesario encontrar una empresa
local donde se pueda aplicar la metodología creada. Contando con la ayuda del actual
Coordinador de Sistemas de la empresa ABC, se planteó aplicar la metodología en el
departamento de TI. ABC es una comercializadora de Gas del Ecuador, que cuenta con una
infraestructura de TI considerable para aplicar la metodología (para ver mayor información
sobre ABC ver Apéndice 1).
Alineamiento estratégico
Creación de valor
Medición de desempeño
Corporate Governance
Comités/concejos
IT
Estructuras de TI
Governance Estructuras
Organizacional Centralización/descentralización
Herramientas Referencias
COBIT
Objetivos de TI
IT BSC Procesos de TI
Auditorías Indicadores
Service Delivery
Benchmarking
El gobierno de las TI es una disciplina basada en el gobierno corporativo (Kaen 2003) que se
ha ido discutiendo más y más en la última década. El concepto se ha ido desarrollando en una
disciplina estudiada y adoptada por muchas organizaciones.
GOBERNABILIDAD CORPORATIVA
Es el proceso mediante el cual las compañías son dirigidas y controladas, su estructura dicta las
reglas y procedimientos para tomar decisiones en asuntos empresariales. De la misma manera
provee la estructura mediante la cual los objetivos son definidos, así como los medios para
lograr y monitorear el desempeño de los mismos.
Grupos involucrados en la gobernabilidad corporativa:
Cuerpo regulatorio empresarial: Gerente General, Junta Directiva, Gerentes y Accionistas.
Otros participantes: proveedores, trabajadores, acreedores y clientes.
Aquí se exponen datos importantes de cómo nace el concepto de gobernabilidad corporativa:
BASEL II
Acuerdo Europeo que rige un conjunto de normas a entidades financieras para controlar el
riesgo de créditos y establecer un mínimo de fondos propios.12 Se basa en tres pilares:
Los requerimientos mínimos de capital: Es el núcleo del acuerdo del Basel I, éste
acuerdo se diferencia del primero al considerar la calidad crediticia de los prestatarios y los
riesgos de mercado y operacionales.
El proceso de examen supervisor: Se pone mayor peso al control y rigurosidad exigido
por los organismos supervisores al validar métodos estadísticos usados para calcular la
suficiencia de fondos.
La disciplina del mercado: Establecer normas de transparencias y definir información
acerca de la posición crediticia y nivel de riesgos a los mercados financieros.
1
El término en español se lo conoce como ‘Gobierno de TI’, para efectos de este TFC y para que no exista
confusión emplearemos el término en su idioma original ‘IT Governance’ a través de este documento.
2
Los hechos suscitados en las empresas estadounidenses Enron y Worldcom en 1999 y 2000 respectivamente
corresponden a los casos de fraude más impactantes.
3
Sarbanes & Oaxley (SOX).
4
Basel II o Basilea II.
5
Center for Information Systems Research (CISR), que pertenece a la escuela de Administración Sloan del
Massachusetts Institute of Technology, es un centro de desarrollo que conduce investigaciones de campo,
estudios y publicaciones sobre temas relacionados con la administración de las TI.
6
Término acuñado por Wheeler y promovido por Hawkins. Para mayor información de los hoyos negros ver
Hawking, S. (1970). The Singularities of Gravitational Collapse and Cosmology.
7
Ver imagen de RF00 Base Bibliográfica.xls Apéndice 4.
8
Definición etimológica obtenida Junio 2007 de http://www.etymonline.com/index.php?term=govern
9
Para profundizar sobre la crisis financiera de Asia del Este se recomienda leer el trascripto de “The Crash”
consultado en línea en Enero 2007 de http://www.pbs.org/wgbh/pages/frontline/shows/crash/etc/script.html
10
“Enron and the Economics of Corporate Governance” consultado en línea en Enero de 2007 de http://www-
econ.stanford.edu/academics/Honors_Theses/Theses_2003/Munzig.pdf
11
Para mayor información sobre la Ley Sarbanes-Oxley se recomienda visitar el sitio en http://www.soxlaw.com/
12
Para mayor información ver “Convergencia internacional de medidas y normas de capital” revisado en línea en
Agosto en http://www.bis.org/publ/bcbs107esp.htm
Capítulo 2
Importancia del control de Tecnologías de Información
“Gobierno de TI es un término utilizado para describir cómo aquellas personas que han
sido confiadas con el gobierno de una entidad considerarán las TI para su supervisión,
monitoreo, control y dirección de la empresa. Cómo las TI se aplican dentro de la
entidad tendrá un inmenso impacto en la decisión de atenerse a la visión, misión o los
objetivos estratégicos.”
-- Roussey (citado en IT Governance Institute, 2003 p. 1)
Traducción de los autores. Para ver la edición en el idioma original Ver Anexo 6.
-- Broadbent, M. (2002, p. 2)
Traducción de los autores. Para ver la edición en el idioma original Ver Anexo 6.
El término decision rights (derechos de decisión) fue presentado por Marianne Broadbent en
una conferencia del ICA2 en Singapur (Broadbent, M., 2002) donde define IT Governance como
la especificación de derechos de decisión y marco de asignación de responsabilidad
para fomentar el comportamiento deseado en la utilización de las tecnologías de información.
Este concepto engloba de una manera sencilla lo que significa a final de cuentas establecer un
verdadero sistema de control y administración centralizado de las TI.
“IT Governance es la alineación estratégica de las TI con el negocio, de tal manera que
se alcance el máximo valor del negocio mediante el desarrollo y mantenimiento de
control efectivo de TI y responsabilidad, administración de desempeño y gestión de
riesgo.”
-- Webb, P., Pollard, C. & Ridley, G. (2006)
Traducción de los autores. Para ver la edición en el idioma original Ver Anexo 6.
Webb, P., Pollard, C. y Ridley, G (2006) propone una definición que enfoca la estrategia y la
entrega de valor de las TI.
Korac-Kakabadse, N. (citado en Webb, P., Pollard, C. & Ridley, G., 2006) propone una
definición que enfoca la estrategia y la entrega de valor de las TI.
En la Tabla 3 se analiza las definiciones presentadas en esta sección para contrastar sus
diferencias y similitudes en cuanto a principios o palabras clave.
Broadbent, M. (2002,
Korac-Kakabadse, N.
Institute (2007, p.5)
Del análisis de estas definiciones se propone una definición de lo que significa un gobierno de
tecnologías de información o IT Governance:
El control sobre las TI cada vez se hace más estricto con relación a su creciente importancia, su
evolución constante y sus funciones dentro de las empresas. Anteriormente el departamento de
TI servía estrictamente de soporte técnico. Con la automatización de procesos fue necesario
administrar la infraestructura de TI para prevenir discontinuidad en el negocio. Con la madurez
de las TI y su uso en múltiples aplicaciones organizacionales y de comunicaciones, el
departamento de TI pasó a ser proveedores de servicios sin embargo hoy en día es necesario
escalar a un nivel superior (IT Governance). Las razones de este nuevo enfoque de control son
las siguientes:
Madurez de las TI
Tiempo
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Gestión de Recursos de TI
Alineamiento Entrega de
Estratégico Valor
IT
GOVERNANCE
Medición de Gestión de
Desempeño Riesgo
Fuente: ITGI
Cuáles son las actividades prioritarias que tendrá el CIO para el 2006? 2006 2005
MEJORES PRÁCTICAS
COBIT es un marco de trabajo y una herramienta que habilita la implementación, medición y
evolución de madurez para los procesos/operaciones más importantes que respectan a la
administración de las tecnologías de información en cualquier organización.
La versión actual al momento de realizar este TFC del COBIT es la 4.1 (IT Governance
Institute, 2007a) liberada en el 2007. La integridad y cobertura de este marco de referencia ha
llevado a utilizarlo como una de las referencias más importantes y fundamentales para la
elaboración de este TFC. Para ver más información de COBIT y sus procesos ver Anexo 3.
En la Figura 8 se presenta los componentes más importantes de COBIT utilizados en este TFC.
Objetivos de TI
Procesos de TI 34 Procesos
divididos en 4
dominios
Tareas Clave
Madurez basada
en SEI CMM
Cuadro de Indicadores de Niveles de
responsabilidades desempeño Madurez
BSC basado en
Kaplan & Norton
Fuente: Elaboración autores
El CISR ha definido las cinco áreas de decisiones más importantes que se toman relacionadas
con la administración de gestión y uso de las TI en una organización (Weill, P. & Ross, J.,
2004a, p.11). Estas decisiones de TI son las siguientes
Principios de TI: decisiones de alto nivel del rol estratégico de las TI en el negocio.
Weill, P. & Ross, J., (2004a) definen estos principios como declaraciones que indican la
posición de la empresa, las declaraciones pueden incluir lineamientos que involucren
fondos, comportamientos deseados, de infraestructura, de soluciones de TI, etc. La
formalización de esta decisión de TI ha sido adopada como los Objetivos de Tecnologías
de Información, en los que se establece el norte y las metas de hacia dónde se quiere
llegar.
Arquitectura de TI: decisiones técnicas que guían a futuras decisiones para la
satisfacción de las necesidades del negocio. Estas decisiones pueden incluir integración de
los datos, estándares de TI, elección de tecnología.
Infraestructura de TI: decisiones basadas en servicios de TI que son las bases para las
capacidades de las TI de la empresa.
Necesidades de aplicación de negocio: decisiones con respecto a requerimientos del
negocio de desarrollo o adquisición de aplicaciones.
Priorización e inversión: decisiones de cuánto y dónde invertir en las TI, estas
decisiones incluyen técnicas aprobación de gastos.
En la Tabla 6 se ha creado una relación entre las principales decisiones de TI con las áreas de
dominio definidas en el COBIT. El fin de esta tabla es ver el alcance del COBIT como
herramienta genérica.
Áreas de dominio de COBIT
Implementación
Planificación y
Adquisición e
Organización
Monitoreo y
Evaluación
Entrega y
Soporte
Decisión
Principios de TI (+)
Arquitectura de TI (+)
Infraestructura de TI (+) (o) (o)
Necesidades de aplicación de negocio (+) (-)
Priorización e inversión (+) (+)
(+) Cubre completamente
(o) Cubre parcialmente
(-) No hay relación o relación insignificante
Según estudios realizados por el MIT (Weill, P. & Ross, J., 2004b, p.8) las empresas con mejor
desempeño de TI mantienen un sistema de IT Governance con un enfoque de centralización de
responsabilidades y por ende de las decisiones importantes mencionadas anteriormente. En la
administración de TI se busca la concentración de poder5, es por esta razón que se habla de
que el poder de decisión deberá estar asignado en la Monarquía del Negocio y la Monarquía de
TI, esto quiere decir que estas decisiones deberán ser la responsabilidad de cargos o comités
de alto rango dentro de la empresa (i.e., ejecutivos senior, comités estratégicos de TI).
El gobierno efectivo de TI ha demostrado (ver casos de éxito en este capítulo) que aporta al
acercamiento y entrega de resultado de los objetivos del negocio, de esta manera optimizando
las inversiones de TI y gestionando los riesgos y oportunidades.
Las empresas que han demostrado tener mayor retorno de inversión y de valor de las TI han
adoptado prácticas que incluyen:
Definir claramente la estrategia de de negocio y el rol que juega en ella las TI
Medir cuantitativamente el nivel de inversión y el valor recibido de las TI
6
Asignar claramente la responsabilidad de los cambios organizacionales que sean
requeridos para obtener valor de TI
Esforzarse por optimizar la integración y la reutilización de los activos de TI
En el estudio ‘Global status report’ del ITGI (IT Governance Institute, 2006) se puede observar
que la cantidad de proveedores de servicios de IT Governance han aumentado en un 200%. En
el mismo reporte se puede ver que el nivel de conocimiento de COBIT ha aumentado en
aproximadamente un 50% desde el 2003 hasta el 2005, lo que se ve reflejado en el la Tabla 8
dónde se puede observar la reducción de problemas relacionados con TI.
Problemas de TI:
Cuales son los últimos problemas de TI en los últimos 12 meses 2003 2005
No se puede apreciar qué tan bien está el desempeño de las TI 41% 15%
Fallas operacionales de TI 40% 27%
Problemas de personal de TI 38% 35%
Alto costo de TI y bajo ROI7 35% 30%
Número de problemas e incidentes 38% **
Falta de conocimiento de los sistemas críticos 35% **
Problemas por la administración la data 34% **
Desconexión entre estrategia de negocio y estrategia de TI 28% 24%
Dependencias no administradas sobre entidades fuera del control directo 27% 23%
Errores en los sistemas críticos 24% 0%
Ningún problema de TI 7% 21%
Otros 5%
Incidentes de seguridad/privacidad * 21%
Las TI no alcanzan los requerimientos de regulaciones corporativas * 15%
Mayores problemas de TI
United Postal Services, es una de las más grandes empresas de mensajería del mundo. En
1986 UPS se veía perdiendo terreno ante FedEx y su posibilidad de rastreo de paquetes. Una
inversión de más de $11 mil millones en un lapso de 10 años en centros de datos, expertos
tecnológicos, creación de una red global, bases de datos y aplicaciones integradas. Sin
embargo, UPS no invirtió únicamente dinero, invirtió esfuerzo de la directiva y esfuerzo en
definir el escenario claro para la alineación estratégica de las inversiones de TI con los
objetivos del negocio, de esta manera generando mayor valor y beneficios e implementando
procesos de IT Governance que habiliten y aseguren decisiones de TI efectivas8. Las raíces del
sistema de IT Governance implementado en UPS se encuentran en un Comité de Dirección
(Steering Committee) que define el rol de las TI en la organización y una clara dirección
tecnológica. En la búsqueda de una organización de TI totalmente alineada con la estrategia de
negocio, UPS tomó la decisión de crear un Comité de Gobierno de TI (IT Governance
Committee) para controlar las operación de TI día a día, manejar procesos de priorización de
proyectos y de aprobación de presupuestos, estándares de TI, y la creación de políticas para
normar las operaciones.9
CTFS es una empresa que labora desde 1961 y actualmente presta servicios financieros a más
de 3 millones de clientes a través de su tarjeta “Canadian Tire Options Mastercard®” con más
de 1700 empleados. La necesidad de implementar un sistema de IT Governance surge por
requerimientos de certificación CEO/CFO11 canadiense. Para poder implementar exitosamente
un IT Governance y alcanzar los requerimientos de la certificación CEO/CFO se recomendó la
utilización de COBIT como herramienta principal por el reconocimiento internacional y por su
facilidad de medición de cumplimiento de controles internos. Una vez implementado COBIT en
CTFS se logró lo siguiente:
Facilidad de creación de planes de trabajo de la auditoría interna de tecnologías de
información. Basándose en las áreas de proceso y entregando resultados escalables.
La herramienta fue utilizada para evaluar el riesgo de TI basándose en objetivos de control
establecidos y procesos de evaluación de riesgo.
Capacidad de analizar y evaluar áreas críticas del negocio, sus sistemas y aplicaciones
asociadas a cada una de las unidades del negocio.
Entregar a administradores, auditores y usuarios con un sistema de métricas e indicadores
clave para medir el desempeño de las TI.
La implementación de un sistema de IT Governance basado en los procesos de COBIT permitió
a CTFS tener un nivel de respuesta muy aceptable para los requerimientos y retos de la
certificación anual de CEO/CFO.
1
Involucrado o también participante. De la palabra en inglés stakeholder que quiere decir cualquier persona o
grupo a quien afecta como riesgo o beneficio.
2
ICA (International Council for Information Technology in Government Administration) es una organización sin
fines de lucro establecida para el intercambio de información concerniente a sistemas computacionales y
gobernabilidad. http://www.ica-it.org/
3
Cargo en inglés Chief Information Officer (CIO), equivalente a una Gerencia de Sistemas o Gerencia de
Tecnologías
4
Standish Group International, Inc. es una firma de investigación. El dato representa a información de empresas
de Estados Unidos, obtenido de http://www.standishgroup.com/press/article.php?id=2
5
A diferencia de un sistema democrático, para la administración de las TI es necesario regresar a los antiguos
sistemas monárquicos, que se basan en darle el poder absoluto a un individuo (o en este caso a un grupo
selecto). Esto se debe al origen del Gobierno Corporativo: hacer responsable (accountable) a las personas de
arriba para que ellos ‘respondan’ a los accionistas de toda decisión tomada.
6
La traducción viene del término accountability que en inglés quiere decir: alguien que tenga la responsabilidad
máxima de algo y debe ser capaz de dar razón por ello.
7
ROI por las siglas en inglés (return on investment), se refiere al retorno de inversión expresado en porcentaje
que representa la cantidad monetaria de
8
Caso de éxito obtenido de Weill, P. & Ross, J. (2004) p. 19
9
UPS Pressroom, obtenido de http://www.pressroom.ups.com/mediakits/factsheet/0,2305,1043,00.html
10
El caso de éxito de la empresa CTFS fue obtenido de ISACA en http://www.isaca.org/
11
Regulación Canadiense generada por la Canadian Securities Administrators (CSA) en repuesta a la legislación
Sarbanes & Oaxley. Esta regulación presiona sobre el cumplimiento de controles internos y la confiabilidad de
reportes financieros.
Capítulo 3
Modelo para la Implementación de IT Governance
utilizando el IT BSC1
Para que IT Governance sea efectivo, el modelo de implementación deberá ser diseñado de
una manera interactiva y ágil; no es la implementación aislada de ciertos mecanismos (i.e.,
comité de dirección, SLAs, comité de arquitectura, comité de gobierno de TI, etc.) en respuesta
a requerimientos que vayan surgiendo. Tal como afirman Weill y Ross (2004b), no existe una
fórmula exacta 100% demostrada o que esté aplicada de una manera estándar en los
departamentos de TI de las empresas.
“En nuestro estudio de casi 300 empresas alrededor del mundo, no identificamos una
única mejor fórmula para gobernar las TI. Sin embargo, una cosa está clara: el gobierno
efectivo de las TI no pasa por accidente. Empresas de alto desempeño diseñan
cuidadosamente el gobierno (de TI). Los gerentes a través de la empresa toman
decisiones día a día para poner en práctica aquel diseño.”
-- Weill, P. & Ross, J. (2004b)
Traducción de los autores. Para ver la edición en el idioma original Ver Anexo 6.
COBIT
ALCANZAR
IT GOVERNANCE
Marco de
trabajo propio
Procesos Marco de trabajo
COBIT para la industria
Implementar Solución. Esta fase tiene que ver con la planificación y ejecución de los
proyectos requeridos para realizar los cambios requeridos.
MITG
1. Identificar Necesidades
1 2 3
2. Construir el IT BSC
4 5 6
3. Implementar Solución
Reconocer la
necesidad
de un ITG
3.2.1 RECONOCIMIENTO DE LA NECESIDAD DE ITG
1
DESCRIPCIÓN
Convencer al directorio de la importancia de implementación de un sistema de IT Governance
para la organización.
ACTIVIDADES
Analizar los beneficios de un IT Governance dentro de la organización
Analizar los riesgos de no tener bajo control las TI.
Presentaciones del concepto de IT Governance a la alta dirección. Para realizar este paso
se creó una plantilla para guiar en los conceptos necesarios para esta actividad (ver
Apéndice 2).
ENTREGABLES
Identificación del auspiciante (sponsor en inglés) del proyecto.
Identificación de los encargados del proyecto.
Establecimiento de los objetivos del proyecto y su aporte a la estrategia global del negocio.
Entender y afinar
estrategia
del negocio
DESCRIPCIÓN
Analizar y estudiar la planificación estratégica de la Empresa. Asegurar que los encargados de
la implementación conozcan y entienda los objetivos del negocio y cómo las TI deberían
entregar valor al negocio a través de los Objetivos del Negocio.
ACTIVIDADES
Estudiar Plan Estratégico del Negocio.
Obtener procesos críticos al giro del negocio.
Analizar el impacto de los objetivos de negocio sobre TI.
ENTREGABLES
Comprensión de la dirección de la organización.
Procesos críticos del negocio.
Planificar
la
Iniciativa
3.2.3 PLANIFICAR LA INICIATIVA 3
DESCRIPCIÓN
Planificar la iniciativa de la implementación de IT Governance, disponer de los recursos (i.e.,
colaboración de ejecutivos, documentación de la estrategia) y afirmar el apoyo para la
ejecución de las diferentes tareas.
ACTIVIDADES
Asegurar un compromiso con los recursos necesarios por parte de la organización a favor
de la iniciativa
Elaboración de un Plan de Gestión de Proyecto2
ENTREGABLES
Definición de una política de IT Governance
Definición de la dirección del programa.
Cronogramas de revisión y de entregas
Formalizar la
Estrategia
De TI
3.2.4 FORMALIZAR LA ESTRATEGIA DE TI 4
DESCRIPCIÓN
Un BSC es la herramienta más importante que tiene el Gerente de Sistemas (CIO) para hacer la
asociación de objetivos estratégicos del negocio con las diferentes actividades que se realizan
de TI. Esto hace que la entrega de valor a las iniciativas de TI se vea reflejada de una manera
escalonada hacia los objetivos del negocio (para ver más información del BSC ver Anexo 1). En
este paso se formaliza la Estrategia de TI mediante la creación de un IT BSC (ver Anexo 2 para
más información del IT BSC). Se deberán definir perspectivas que le permitan reflejar las áreas
importantes de las estrategias emprendidas. Se recomienda utilizar perspectivas genéricas
como base (ver Anexo 2 para mayor detalle), sin embargo cada empresa podrá crear o
modificar las perspectivas de acuerdo a las necesidades de su estrategia organizacional.
Tomando en cuenta las perspectivas implementadas en la organización, la definición de
objetivos de TI se deberá realizar en base a dos ideas clave: un conocimiento profundo del
negocio, y un conocimiento de TI (sus operaciones y mejores prácticas). Además de esto hay
parámetros básicos que todo objetivo estratégico definido deberá cumplir. Se ha incluido una
lista básica utilizando parámetros establecidos en la metodología para la definición de objetivos
estratégicos SMART 3 . Utilizando las preguntas ahí establecidas se deberá verificar que el
Objetivo de TI cumpla.
Para ayudar a la definición de los objetivos de TI se creó el documento DT01-ObjetivosTI (Ver
Apéndice 3).
ACTIVIDADES
Presentar el concepto de IT BSC a la directiva y al comité de estrategia de TI.
Recoger información de los objetivos de negocio, objetivos de TI y métricas establecidas
(en caso que ya exista).
Definir o modificar las perspectivas del IT BSC (las cuatro perspectivas están explicadas en
el Anexo 2)
Definir los objetivos de tecnología de información basados en los objetivos del negocio.
Como guía al momento de establecer los objetivos de TI se recomienda utilizar objetivos
de TI genéricos obtenidos de diversas industrias (ver Anexo 4).
Identificar la relación entre los objetivos de TI con los objetivos de negocio
ENTREGABLES
Perspectivas justificadas para el IT BSC
Objetivos de TI.
Contribución y asociación de TI a los objetivos de negocio.
Creación de la estructura de organizacional necesaria para cumplir con los objetivos
establecidos
Elaborar
Mapa Estratégico
3.2.5 ELABORAR MAPA ESTRATÉGICO Y DEFINIR Y definir
Indicadores
INDICADORES 5
DESCRIPCIÓN
ACTIVIDADES
Establecer las relaciones de causa-efecto entre los objetivos utilizando mapas estratégicos
(mapa estratégico).
Construir los indicadores de desempeño clave para monitorear si la estrategia es exitosa.
Establecer los valores esperados de los sistemas de métricas esperados
ENTREGABLES
Mapa estratégico de los objetivos
Indicadores para cada objetivo de TI
MAPAS ESTRATÉGICOS
Para establecer la relación causa y efecto de los objetivos de tecnologías de información, se
utilizarán mapas estratégicos. Para ver mayor detalle de los mapas estratégicos ver Anexo 1.
Los objetivos serán colocados en un diagrama que demuestre claramente las entradas y las
salidas de los demás objetivos.
ESTABLECER INDICADORES
Para medir el desempeño y el crecimiento de cada objetivo de TI definido anteriormente, es
necesario definir Indicadores. Esta metodología propone utilizar los procesos de TI definidos en
el COBIT 4.1 (IT Governance Institute, 2007a) como referencia para la construcción de los
indicadores.
Las asociaciones entre los objetivos de TI con los procesos de TI servirán para la creación de
indicadores. En la Figura 11 se puede ver un ejemplo de la asociación mencionada. En esta
metodología se recomienda hacer este paso tomando en cuenta el enlace que se presenta en el
Anexo 6.
Objetivos de TI Procesos de TI
F1 Alinear de las TI acorde con la estrategia de PO1 PO4 ME1
negocio.
C1
Objetivos de TI
Asegurar que los servicios de TI estén disponibles DS3 DS4 DS8
cuando sean requeridos.
C2 Asegurar la satisfacción de los clientes y los DS1 DS8 de PO8
Procesos TI del COBIT
usuarios finales a través de los servicios de TI y sus
niveles de servicios.
F2 Transparentar el costo y los beneficios de TI de PO5 DS1 DS6
Existen procesos de TI calificados como los más importantes (ver Anexo 5), que puede que no
sean tomados en cuenta al momento que se realice la asociación de los objetivos de TI con los
procesos de TI. Esto quiere decir que de acuerdo a las mejores prácticas de varias industrias
hay procesos que no se están considerando. Si así fuera el caso, lo más importante analizar
aquellos procesos para reafirmar la estrategia de TI.
Los indicadores definidos para cada objetivo de TI son diferentes en cada empresa. Permiten la
medición de aspectos que reflejan el nivel de cumplimiento de cada uno de los objetivos de TI.
Para encaminar la edificación de los indicadores en el IT BSC de cada organización es
recomendable comenzar observando los KGI (indicadores de objetivos), KPI (indicadores de
procesos), KAI (indicadores de actividades) de los Procesos de TI del COBIT. Sin embargo,
también se podrá utilizar fuentes tales como ITIL, ISO 17999, y demás estándares de procesos
para definir tanto indicadores como niveles esperados. Una vez analizados se podrán
personalizar para las necesidades. En la Figura 12 se pueden observar ejemplos de indicadores.
Fuente: Elaboración autores, indicadores obtenidos de COBIT 4.1 (IT Governance Institute, 2007a)
Evaluación
de
3.2.6 EVALUACIÓN DE DESEMPEÑO desempeño
DESCRIPCIÓN
Este paso tiene la función de medir los indicadores de cada objetivo de TI establecido
anteriormente. Estos indicadores variarán dependiendo del enfoque de la estrategia de
tecnologías de información de cada organización.
ACTIVIDADES
Revisión de los indicadores de desempeño individualmente para establecer el cumplimiento
de las metas establecidas.
ENTREGABLES
Indicadores medidos
El proceso de evaluación se puede observar en la Figura 13, en donde se describen los pasos a
seguir incluyendo el levantamiento de información y la evaluación de los indicadores.
Documentación Información
Integración recolectada Revisión de
formal Fin
indicadores
DESCRIPCIÓN
Este paso revisa de una manera global y detallada todos los aspectos que se observaron en los
resultados de los indicadores. Teniendo en cuenta las metas establecidas en cada indicador se
proponen y discuten las actividades que llevarían a alcanzarlos.
ACTIVIDADES
Buscar las causas de las diferencias entre el valor esperado y el real
Definición de actividades para llegar al estado deseado
ENTREGABLES
Tabla de indicadores completas
Proyectos de TI.
Implementar
cambios
3.2.8 IMPLEMENTAR CAMBIOS
8
DESCRIPCIÓN
Todo proyecto propuesto en el paso anterior deberá ejecutarse para mejorar los indicadores de
desempeño procurando no afectar negativamente ningún otro elemento.
ACTIVIDADES
Ejecución de los respectivos proyectos de cambio
ENTREGABLES
La correcta implementación de cada proyecto y su respectiva documentación
Entregables dependiendo de cada proyecto
Evaluación
de
3.2.9 EVALUACIÓN DE DESEMPEÑO desempeño
DESCRIPCIÓN
Los cambios implementados serán evaluados volviendo a medir los indicadores definidos, en el
caso que los indicadores no muestren señal de mejora se deberá reevaluar la acción propuesta
poniendo en duda su efectividad. En el caso que el indicador cumpla su meta, pero no impacte
significativamente (de la manera esperada) a la estrategia se deberá reevaluar el indicador
propuesto.
ACTIVIDADES
Evaluación de indicadores y comparar el resultado con la meta propuesta
Analizar el cambio en los indicadores desde la última evaluación
Analizar la efectividad de los proyectos de cambio y de los indicadores
ENTREGABLES
Reporte de efectividad de los indicadores
Reporte de efectividad de los proyectos
1
Ver glosario de IT Balanced Scorecard (IT BSC)
2
Un Plan de Gestión de Proyecto incluye actividades de administración de integración, alcance, tiempo, costo,
recursos humanos, comunicaciones, riesgo y adquisición. Ver PMBOK
3
SMART, acrónimo que representa las palabras Smart, Measurable, Achievable, Realistic, Time oriented.
Obtenido de Ambler G. (2006).
Capítulo 4
Aplicación del Modelo de Implementación de IT
Governance
MITG
1. Identificar Necesidades
1 2 3
2. Construir el IT BSC
3. Implementar Solución
recursos y apoyo gerencial para los proyectos propuestos por el Departamento. Nuestra visita a
la empresa ABC tendría como resultado realizar una evaluación y dar recomendaciones a la
empresa.
Formalizar
una estrategia
de TI
El proceso comenzó con un primer levantamiento de información donde se obtuvo, entre otras
cosas, las funciones establecidas para el Departamento de Sistemas de la empresa ABC (Figura
15). Sin embargo, los objetivos no mostraban una estrategia clara formalmente definida, más
bien parecían metas y acciones de TI. En base a esto se propuso la formalización de objetivos
de TI basándose en objetivos genéricos más importantes encontrados en el estándar COBIT
(ver Anexo 4).
Teniendo en cuenta las actividades funcionales más importantes, una lista de objetivos de TI
genéricos (Anexo 4) y los procesos de COBIT (Anexo 3) se llegó a crear una lista de objetivos
que cumplan con los requisitos de la organización (ver proceso en la Figura 16).
Análisis
Actividades funcionales de ABC
Objetivos de TI Genéricos
Consulta
Procesos de TI de COBIT
Formalización
Objetivos de TI
Alinear de las TI acorde con la estrategia de negocio.
Transparentar el costo y los beneficios de TI de acuerdo a los niveles acordados de servicio.
Mejorar la eficiencia del costo-beneficio de TI y su contribución a la rentabilidad del negocio.
Asegurar que Objetivos
los servicios dede TI definidos
TI estén formalmente
disponibles cuando sean requeridos.
Asegurar la satisfacción de los clientes y los usuarios finales a través de los servicios de TI y sus niveles
de servicios.
Entregar proyectos a tiempo y con el presupuesto establecido, cumpliendo estándares de calidad
acordados.
Los requerimientos del negocio son traducidos a soluciones automáticas efectivas y eficientes.
Reducir defectos y retrabajo en las soluciones implementadas.
Adquirir y mantener una infraestructura de TI integrada y estandarizada.
Optimizar los recursos y capacidades de TI.
Innovar los procesos de negocio usando la tecnología.
Asegurar la calidad, la eficiencia, la mejora continua y capacidad de adpaptación para futuros cambios.
La ventaja de usar los objetivos genéricos es su facilidad de asociación con las 4 perspectivas
del IT BSC y con los procesos del COBIT (los procesos de TI fueron usados posteriormente
para definir las métricas iniciales.)
En la Tabla 11 se presentan los objetivos de TI formalmente definidos para la empresa ABC con
la descripción.
Elaborar el Mapa
Estratégico y
4.3.2 ELABORAR MAPA ESTRATÉGICO Y DEFINIR Definir
Indicadores
INDICADORES 5
Como primer paso se analizó y se estableció la relación de cada uno de los objetivos de TI a las
perspectivas escogidas. El resultado de esto se puede observar en la Figura 17.
CONTRIBUCIÓN CORPORATIVA
F1 Alineación de las TI acorde con la estrategia de
negocio.
F2 Transparentar el costo y los beneficios de TI de
acuerdo a los niveles acordados de servicio.
F3 Mejorar la eficiencia del costo-beneficio de TI y
su contribución a la rentabilidad del negocio.
ORIENTACIÓN FUTURA
ORIENTACIÓN DE CLIENTES D1 Innovar los procesos de negocio
C1 Asegurar que los servicios de TI usando la tecnología.
estén disponibles cuando sean D2 Establecer el marco para la
requeridos. adaptación para futuros cambios en
IT BSC las TI.
C2 Asegurar la satisfacción de los
clientes y los usuarios finales a D3 Adquirir y mantener habilidades que
través de los servicios de TI y respondan a las estrategias de TI
sus niveles de servicios.
D4 Investigar y desarrollar de tendencias
de TI
EXCELENCIA OPERACIONAL
P1 Entregar proyectos a tiempo y con el
presupuesto establecido, cumpliendo estándares
de calidad acordados.
P2 Los requerimientos del negocio son traducidos a
soluciones automáticas efectivas y eficientes.
P3 Reducir defectos y retrabajo en las soluciones
implementadas.
P4 Adquirir y mantener una infraestructura de TI
integrada y estandarizada.
P5 Optimizar los recursos y capacidades de TI.
Se procedió a crear el mapa estratégico para analizar las relaciones causa efecto, revisando
que todos los objetivos estén alineados y satisfagan las distintas perspectivas.
CONTRIBUCIÓN CORPORATIVA
ORIENTACIÓN DE CLIENTES
EXCELENCIA OPERACIONAL
ORIENTACIÓN FUTURA
Una vez obtenido el mapa estratégico, observando que no falte ningún objetivo y que la
estrategia de TI quede clara, se procedió a identificar los procesos de TI del COBIT asociados a
los objetivos (ver Tabla 11).
Objetivos de TI Procesos de TI
F1 Alinear de las TI acorde con la estrategia de negocio. PO1 PO4 ME1
C1 Asegurar que los servicios de TI estén disponibles cuando sean DS3 DS4 DS8
requeridos.
C2 Asegurar la satisfacción de los clientes y los usuarios finales a través DS1 DS8 PO8
de los servicios de TI y sus niveles de servicios.
F2 Transparentar el costo y los beneficios de TI de acuerdo a los niveles PO5 DS1 DS6
acordados de servicio.
F3 Mejorar la eficiencia del costo-beneficio de TI y su contribución a la PO5 ME1 DS6
rentabilidad del negocio.
D1 Innovar los procesos de negocio usando la tecnología. PO4 (*)
D2 Establecer el marco para la adaptación para futuros cambios en las PO5 DS6 ME1
TI.
P2 Los requerimientos del negocio son traducidos a soluciones AI1 AI2 AI6
automáticas efectivas y eficientes.
P1 Entregar proyectos a tiempo y con el presupuesto establecido, PO8 PO10
cumpliendo estándares de calidad acordados.
P3 Reducir defectos y retrabajo en las soluciones implementadas. PO8 AI4 AI6 AI7 DS10
P4 Adquirir y mantener una infraestructura de TI integrada y AI3 PO3 AI2
estandarizada.
P5 Optimizar los recursos y capacidades de TI. DS3 AI5 AI3
D3 Adquirir y mantener habilidades que respondan a las estrategias de (*)
TI
D4 Investigar y desarrollar de tendencias de TI (*)
(*) Procesos creados que no pertenecen a los Procesos de TI del COBIT.
Fuente: Elaboración autores
Procesos TI
Objetivos de
Código Indicadores de Desempeño
TI
F1. Alinear las TI % de objetivos de TI que apoyan a los objetivos estratégicos del
acorde con la F1PO1.1 negocio
Contribución corporativa
estrategia de
negocio. F1PO1.2 % de Iniciativas en el plan táctico que apoyan a los objetivos de TI
Procesos TI
Perspectiva
Objetivos de
Código Indicadores de Desempeño
TI
Procesos TI
Perspectiva
Objetivos de
Código Indicadores de Desempeño
TI
C1. Asegurar que # de horas perdidas por usuario (por mes) por falta de disponibilidad
los servicios de TI C1DS3.1 de los servicios de TI
estén disponibles
cuando sean C1DS3.2 Tasa de falla de transacciones
requeridos. % de tiempo de respuesta establecido en los SLAs que no se ha
C1DS3.3 cumplido
DS3 C1DS3.4 % de activos incluidos en las revisiones de capacidad
# de procesos críticos del negocio soportados por TI que no está
C1DS4.1 incluida en el plan de continuidad del negocio
DS4 C1DS4.2 Frecuencia de revisión del plan de continuidad de TI
% de incidentes resueltos dentro de un lapso de tiempo aceptable /
DS8 C1DS8.2 acordado.
Orientación a Clientes
C2. Asegurar la
satisfacción de los PO8 C2PO8.4 % de involucrados participando en encuestas de calidad
clientes y los
usuarios finales a % de Servicios de TI que están plasmados en SLAs de acuerdo al
través de los C2DS1.1 portafolio de servicios
servicios de TI y % de clientes que están satisfechos que el servicio cumple con los
sus niveles de C2DS1.2 niveles acordados
servicios.
C2DS1.4 % de niveles de servicio que son medidos
Procesos TI
Perspectiva
Objetivos de
Código Indicadores de Desempeño
TI
Procesos TI
Perspectiva
Objetivos de
Código Indicadores de Desempeño
TI
D4. Investigar y
desarrollar de
tendencias de TI BP3 D3BP3.1 % de presupuesto invertido en investigación y desarrollo
Fuente: Elaboración autores
SELECCIÓN DE INDICADORES
De estos indicadores se seleccionaron 26 estratégicos, (el resto son indicadores de diagnóstico)
para medir inicialmente a la empresa ABC. A continuación se presentan los indicadores de
desempeño seleccionados:
Indicador F1PO1.1 - Objetivos de TI que apoyan a los objetivos estratégicos del negocio
Tipo de Indicador Lag
Objetivo de TI F1. Alinear las TI acorde con la estrategia de negocio.
Descripción Se deberá analizar los objetivos de negocio establecidos. Posteriormente se
deberán buscar los que tengan una asociación cuantitativa con los objetivos de
TI que se pueda demostrar. Se calculará el total de objetivos de TI asociados a
objetivos del negocio sobre el total de objetivos de TI.
Frecuencia de medición Cada vez que se modifican los objetivos estratégicos del negocio
Unidades de medida %
meta (corto y largo Corto plazo: 100%
plazo) Largo plazo: 100%
Responsable Coordinador de Sistemas
Fuente Plan de Negocios, que incluya los objetivos estratégicos del negocio
Plan Estratégico de TI, que incluya los objetivos de TI
Indicador F1PO4.3 - Involucrados que están satisfechos con el nivel de repuesta del
departamento sistemas
Tipo de Indicador Lead
Objetivo de TI F1. Alinear las TI acorde con la estrategia de negocio.
Descripción Se deberá realizar una encuesta de satisfacción sobre la respuesta que entrega
TI a los involucrados.
Frecuencia de medición Semestralmente
Unidades de medida %
meta (corto y largo Corto plazo: Por definir
plazo) Largo plazo: 100%
Responsable Coordinador de Sistemas
Herramienta para medir Encuesta de satisfacción sobre desempeño de TI
Fuente Percepción de los involucrados
acordados de servicio.
Descripción Se deberá realizar una comparación entre presupuesto establecido para un
proyecto y los valores reales. Posteriormente se calculará el total de proyectos
bajo presupuesto sobre el total de proyectos.
Frecuencia de medición Anualmente
Unidades de medida #
meta (corto y largo Corto plazo: 0
plazo) Largo plazo: 0
Responsable Coordinador de Sistemas
Herramienta para medir Presupuesto vs. Gasto real
Fuente Plan de proyecto
Indicador F2PO5.6 - Proyectos para los cuales existe y está disponible información de
desempeño (e.g., costos, cronogramas)
Tipo de Indicador Lag
Objetivo de TI F2. Transparentar el costo y los beneficios de TI de acuerdo a los niveles
acordados de servicio.
Descripción Se deberá identificar los proyectos que contienen información de desempeño.
Posteriormente se calculará el total de proyectos identificados sobre el total de
proyectos.
Frecuencia de medición Anualmente
Unidades de medida %
meta (corto y largo Corto plazo: Por definir
plazo) Largo plazo: 100%
Responsable Coordinador de Sistemas
Herramienta para medir e.g., Microsoft Project
Fuente Documentación de Proyecto (un Registro o SW donde se registre el seguimiento
del proyecto)
Indicador C1DS4.1 - Procesos críticos del negocio soportados por TI que no estén
incluidos en el plan de continuidad del negocio
Tipo de Indicador Lead
Objetivo de TI C1. Asegurar que los servicios de TI estén disponibles cuando sean requeridos.
Descripción Se deberá revisar los procesos críticos del negocio. Posteriormente se revisará el
plan de continuidad de negocio y contarán los procesos que no están
soportados en el plan.
Frecuencia de medición Anualmente
Unidades de medida #
meta (corto y largo Corto plazo: reducción al # de procesos actuales
plazo) Largo plazo: 0
Responsable Coordinador de Sistemas
Herramienta para medir -
Fuente Procesos críticos del negocio, Plan de Continuidad de Negocio, DRP
Indicador P1PO10.2 – Proyectos que cumplen con las expectativas de los involucrados
Tipo de Indicador Lead
Objetivo de TI P1. Entregar proyectos a tiempo y con el presupuesto establecido, cumpliendo
estándares de calidad acordados.
Descripción Se deberá realizar una encuesta a los involucrados del proyecto, sobre el grado
de satisfacción en relación a un proyecto culminado. Posteriormente se revisará
el total de proyectos dónde los involucrados se encuentren satisfechos, sobre el
total de proyectos.
Frecuencia de medición Anualmente
Unidades de medida %
Meta (corto y largo Corto plazo: Por definir
plazo) Largo plazo: 100%
Responsable Coordinador de Sistemas
Herramienta para medir Encuesta de satisfacción de los proyectos de TI.
Fuente Involucrados de proyectos, proyectos de TI.
Indicador D1BP1.2 - Proyectos propuestos por parte del departamento de TI para mejorar
los procesos del negocio
Tipo de Indicador Lag
Objetivo de TI D1. Innovar los procesos de negocio usando la tecnología.
Descripción La cantidad de proyectos propuestos por el departamento de sistemas dividido
para el total de proyectos.
Frecuencia de medición Anualmente
Unidades de medida %
meta (corto y largo Por definir
plazo)
Responsable Coordinador de Sistemas
Herramienta para medir Investigación de iniciativas demostrables de proyectos que hayan surgido del
departamento de TI
Fuente Bitácora de Proyectos de TI
Indicador D2PO5.10 - Proyectos para los cuales existe y está disponible información de
desempeño (e.g., costos, cronogramas, riesgo)
Tipo de Indicador Lag
Objetivo de TI D2. Establecer el marco para la adaptación para futuros cambios en las TI.
Descripción Se deberá identificar los proyectos que contienen información de desempeño.
Posteriormente se calculará el total de proyectos identificados sobre el total de
proyectos.
Frecuencia de medición Anualmente
Unidades de medida %
Evaluación
Desempeño
Para entrar al paso número 6 de la metodología propuesta fue necesario recopilar los
requerimientos para cada indicador escogido en la sección anterior. Se creó una lista con las
fuentes de información de las que se mide los indicadores propuestos (ver Figura 19).
Meta Valor % de
Objetivo Indicador
esperada resultante cumplimiento
P1. P1PO10.1 100% - -
P1. P1PO10.2 - - -
P2. P2A2.1 100% - -
P3. P3AI4.5 100% - -
P3. P3AI7.1 0% - -
P3. P3AI7.6 100% - -
P3. P3DS10.1 - - -
P4. P4PO3.6 - - -
D1. D1BP1.1 100% 100% 100%
D1. D1BP1.2 - - -
D2. D2PO5.10 - - -
D3. D3BP2.1 - 4
D3. D3BP3.1 - - -
(*) Recomendación
Fuente: Elaboración autores
Tabla 14. Resultados de la evaluación de los indicadores
1
Empresa ABC – Organization Models 2007, Information System Direction (E&P Account). difuminadas para
preservar la seguridad de la información de la empresa ABC
2
El término Cost Allocation quiere decir que para cada servicio de TI se registren los costos asociados de tal
manera que se vean la utilización de recursos por cada área que utiliza estos servicios.
Capítulo 5
Conclusiones
Las conclusiones expresadas en este capítulo son opiniones de los autores basadas en la
experiencia obtenida durante la elaboración de este TFC, su carrera universitaria y su
experiencia profesional.
DE LA INVESTIGACIÓN
Después una investigación ardua y extensa acerca de temas relacionados con el manejo de las
empresas y en especial de las TI, se ha llegado a las siguientes conclusiones:
Para toda empresa medianamente grande, que lucha por crecer competitivamente en el
mercado, las TI son la base que sostienen las operaciones de su negocio, convirtiéndose
de esta manera en uno de los activos más importantes y diferenciadores.
Es imprescindible realizar inversiones estratégicas para satisfacer los nuevos servicios
demandados por consumidores más exigentes cuyo conocimiento de las TI presenta
muchas oportunidades de negocio.
Es necesario mantener un control adecuado de las TI, de manera que se obtenga el valor
esperado y su riesgo disminuya.
Existen innumerables metodologías, artículos y publicaciones que hablan de la
implementación y de la administración efectiva de las TI. La metodología y bibliografía
utilizada entregan una gama muy amplia que busca englobar las ideas más populares y
difundidas en este aspecto.
En muchos países, incluyendo Ecuador, las regulaciones financieras para empresas cada
vez son más rigurosas. El impacto de estas regulaciones sobre las operaciones
tecnológicas de las empresas resulta en la necesidad de tener un control efectivo.
No se encontraron publicaciones nacionales del tema de IT Governance.
Muchos administradores de empresas y miembros de juntas directivas de estas
organizaciones no están familiarizados con temas de administración en las tecnologías de
información.
DEL IT GOVERNANCE
De las diferentes definiciones encontradas en libros, papers y demás documentos que tratan el
tema de IT Governance, se puede concluir lo siguiente:
IT Governance es un elemento del Corporate Governance y como tal deberá formar parte
de la agenda de la alta directiva.
El fin del IT Governance es dominar los recursos de TI para lograr los objetivos
planteados.
alcance de los objetivos definidos. Es importante contar con una mezcla adecuada de
indicadores de desempeño y de resultado2.
Comunicar el IT BSC a todo el departamento: es de vital importancia que los trabajadores
comprendan la estrategia y el sistema implementado para gestionarla. Además resulta
motivador el percibir cómo su trabajo se encuentra alineado a los objetivos definidos. Se
recomienda implementar dashboards 3 (tablero de control automático) para que los
encargados de TI puedan ver el desempeño de los recursos y el resultado de los
indicadores para tomar acciones al respecto.
La medición de los indicadores resulta una de las tareas más complejas y largas de la
metodología. Se recomienda dedicarle el tiempo necesario la primera vez, dejando
establecido mecanismos para mediciones futuras.
PRONÓSTICOS Y TENDENCIAS
Se confía que el IT Governance será un componente primordial de las empresas ecuatorianas.
No será una moda efímera que durante los próximos años será reemplazada por futuras
tendencias; puesto que los conceptos del IT Governance serán la base para nuevas
metodologías y la mejora de las actuales.
Se ha podido observar que las empresas ecuatorianas no tienen una madurez de IT
Governance, los departamento de Sistemas todavía se encuentran en el nivel de proveedores
de servicios. Sin embargo, en ciertas empresas existe la tendencia de implementar de
iniciativas de control de TI, en especial en empresas que están impactadas por normativas de
sus sedes multinacionales.
Hasta ahora las razones por las cuales las empresas adoptan mejores prácticas son por
políticas administrativas de las compañías de países desarrollados y por regulaciones estatales.
Sin embargo se cree que habrá una tendencia en la promoción de estos conceptos y se
comience a tomar conciencia de su vital importancia en las empresas competitivas.
Una de las situaciones más importantes es el hecho ya mencionado que los administradores no
están empapados en temas de administración de tecnologías de información, esto hace fácil
delegar la responsabilidad al departamento técnico. Sin embargo, iniciativas de carreras que
mezclen conceptos de administración de empresas, finanzas y ciencias de administración de TI
harán evolucionar los niveles de madurez de TI de las empresas.
1
Con ‘idioma’ nos referimos a una comunicación clara, donde el mensaje captado es el mismo que el emitido. No
existen mal interpretaciones.
2
Para mayor información sobre BSC, los indicadores de desempeño y de resultado ver Anexo 1
3
Herramienta automática basada en el IT BSC que permite a los dueños de los procesos evaluar el desempeño
constantemente de los indicadores de los que están encargados.
Referencias
Referencias y Bibliografía
Gobierno Corporativo
Estrategia de Negocio
Ambler G. (2006). Setting SMART Objectives. The Practice of Leadership. [en línea] obtenido
junio 2007 de http://www.thepracticeofleadership.net/2006/03/11/setting-smart-
objectives/
Gray (2004), Is there a relationship between corporate governance and IT governance. ITGI
Kaplan, R. & Norton, D. (1992). The Balanced Scorecard – Measures that drive performance.
Harvard Business Review.
Kaplan, R. & Norton, D. (1996a). The Balanced Scorecard Translating strategy in action.
Harvard Business School Press.
Kaplan, R. y Norton, D. (1996b). Strategy Maps: Converting Intangible Assets into Tangible
Outcomes. Harvard Business School Press, Boston.
CETIUC (2006). Estudio Nacional Sobre Tecnologías de Información. PUCE, Chile.
Estrategia de TI
IT Governance general
Broadbent, M. (2002). CIO Futures - Lead with effective governance. ICA 36th Conference
Guldentops, E., Van Grembergen, W. & De Haes, S. (2002). Control and Governance Maturity
Survey: Establishing a Reference Benchmark and a Self-assessment Tool. Information
Systems Control Journal, Volume 6.
Hill, P. & Turbit, K. (2006). Combine ITIL and COBIT to Meet Business Challenges. BMC
Software.
IT Governance- Toward a Unified Framework Linked to and Driven by Corporate Governance
IT Governance Institute (2007a). COBIT 4.1. ISACA Press
IT Governance Institute (2007b). IT Governance Implementation Guide. ITGI.
IT Governance Institute (2006). IT Governance global status report – 2006. ITGI.
IT Governance Institute (2004). IT Governance global status report. ITGI.
IT Governance Institute (2003) Board Briefing on IT Governance 2 edition. ITGI.
Kordel, L. (2004). IT Governance Hands-on: Using Cobit to implement IT Governance.
Information Systems Control Journal, Volume 4
Nuñez, H. (2006) YITGC What is IT Governance? Your IT Governance Coach. [En línea]
obtenido febrero 2007 de
http://youritgovernancecoach.typepad.com/governance/2006/10/what_is_it_gove.html
Nuñez, H. (2007). Podcast: YITGC0703 Implementing CobiT: Where do we start? Min 5:14.
Your IT Governance Coach. [En línea] obtenido junio 2007 de
http://youritgovernancecoach.typepad.com/governance/2007/03/yitgc_implement.html
Sallé, M. (2004). IT Service Management and IT Governance: Review, Comparative Analysis
and their Impact on Utility Computing. HP Laboratories
Simonsson M. & Jonson P. (2006). Assessment of IT Governance: A Prioritization of Cobit
Symons, C. (2005) Best Practices: IT Governance Framework structures, processes, and
communication. Forrester Research, Inc.
Webb, P., Pollard, C. & Ridley, G (2006) Attempting to Define IT Governance: Wisdom or Folly?
Proceedings of the 39th Hawaii International Conference on System Sciences.
Weill, P. & Ross, J. (2004a). IT governance – How top performers manage IT decision rights for
superior results. Harvard Business School Press.
Weill, P. & Ross, J. (2004b). IT governance on one page. MIT Sloan School of Management,
Center for Information Systems Research.
Van Grembergen, W. (2007) Prioritising and Linking Business and IT Goals in the Financial
Sector. Proceedings of the 40th Hawaii International Conference on System Sciences.
Operaciones de TI
Project Management Institute (2004). A guide to the Project Management Body of Knowledge.
Project management Institute, Inc.
Office of Government Commerce (2003). IT Infrastructure Library. Service Support, Service
Delivery.
Otros
Glosario
Glosario
C
Originalmente liberado como un marco de trabajo para procesos de TI y control que los
asociaba a los requerimientos del negocio, fue utilizado inicialmente por la comunidad de
auditoría. Con la adición de guías de gestión en 1998 COBIT se fue utilizando más y más como
un marco de trabajo para la gestión que proveía las herramientas de gestión tal como
métricas y modelos de madurez para complementar el marco de control. Con la liberación
COBIT 4.0 se convirtió en un marco de trabajo completo para IT Governance.
IT (Information Technologies)
Modelo de gestión estratégica y de toma de decisiones basado en el BSC (Kaplan y Norton) que
se enfoca en un tablero de control que entrega a los top managers (gerentes de alto nivel) una
visión global del estado de cumplimiento de los objetivos de tecnologías de información
planteados en una empresa.
IT Governance
ITGI
Information Technology Governance Institute, es una organización creada para asegurar que
los responsables de la administración empresarial tengan las herramientas e información
necesarias para que las TI entreguen el valor esperado.
Gap
Gobernabilidad (Governance)
El termino gobernabilidad tiene que ver con los sistemas y procesos por los cuales una
organización funciona. Frecuentemente se establece un gobierno para administrar los procesos
y sistemas.
Gobierno de TI
Ver IT Governance
SLA
TI (Tecnologías de Información)
TFC
Trabajo de fin de carrera. Requisito de la Universidad Santa María para obtener la aprobación
de título de Pregrado.
Anexos
Anexo 1
Balanced Scorecard (Cuadro de Mando Integral)
PERSPECTIVA FINANCIERA
Las medidas financieras resumen las consecuencias económicas de las acciones tomadas. Entre
las medidas más frecuentes se encuentran VAN, TIR, EVA.
PERSPECTIVA CLIENTES
En esta perspectiva se identifica los segmentos del mercado en que se piensa competir y las
métricas para el desempeño de las unidades de negocio de los segmentos identificados.
BENEFICIOS Y RIESGOS
Los beneficios por implementar un BSC en una organización varían de acuerdo a los objetivos
propuestos por ellos, sin embargo las organizaciones que lo implementan además de cumplir
sus objetivos obtienen los siguientes beneficios:
Alineación de objetivos departamentales y personales a la estrategia
Traducción de la visión y estrategias en acciones.
Obtención de claridad y consenso alrededor de la estrategia
Comunicación y enlazar objetivos y medidas estratégicos
Retroalimentación y aprendizaje estratégico
Redefinición de la estrategia en base a resultados.
Integración de información de diversas áreas de negocio.
Desarrollo de liderazgo
Educación a la organización
Alineación de programas e inversiones
Mejora del sistema de indicadores actuales
Desarrollo de habilidades de comunicación y mejora del trabajo en equipo
Mejor entendimiento de los asuntos de otros departamentos
Mayor enfoque en los intangibles, no sólo aspectos financieros.
Responsabilidades individuales claras con sentido de pertenencia colectivo
Resaltan las debilidades y áreas de oportunidad
Sin embargo no todo BSC es implementado correctamente, y lo más preocupante es que no
siempre la organización esta consciente de esto. Existen ciertos riesgos que pueden llevar al
BSC de ser una herramienta para alcanzar las estrategias de negocio, a desviarlas. Entre los
riesgos podemos encontrar:
Falta de soporte e involucramiento de la alta gerencia
Falta de una estrategia bien definida
Objetivos y métricas no alineados a las diferentes perspectivas
Ver al BSC como un sistema de medición mas no de gestión.
Mala comunicación del BSC a la organización
Definición ambigua de objetivos
Usar solo indicadores de resultado
RELACIONES CAUSA-EFECTO
“Cada medida seleccionada para el Balanced Scorecard deberá ser un elemento de una cadena
de relaciones causa-efecto que comunique el significado de la estrategia de la unidad de
negocio a la organización” Kaplan, R. & Norton, D. (1996a) p. 149.
INDUCTORES DE DESEMPEÑO
Los indicadores deberán reflejar la estrategia de las unidades de negocio. Un BSC deberá tener
una mezcla adecuada de inductores de desempeño y medidas de resultado.
Medidas de resultado sin inductores de desempeño no comunican como los resultados son
alcanzados. El siguiente ejemplo ayuda a clarificar esta idea:
Una tienda de ropa define como indicador “porcentaje de retención de clientes”, como el
porcentaje de clientes del periodo actual sobre el número de clientes del periodo anterior. La
medida de resultado será visible después de un periodo, en el que se podrá medir la eficiencia
de una acción propuesta. Sin embargo con un inductor de desempeño como una “encuesta de
satisfacción del cliente”, se podrá conocer antes del periodo si las acciones propuestas se
encuentran bien orientadas. Los resultados de los indicadores de desempeño deberán reflejar
los índices de resultado.
De la misma manera inductores de desempeño sin medidas resultantes pueden habilitar las
mejoras a corto plazo pero fallan revelar si las mejoras operacionales han sido trasladadas a los
objetivos planteados.
Otros nombres comunes para estos indicadores son:
leading indicator – lagging indicador
lead – lag,
indicador causa – indicador efecto,
indicador de desempeño - indicador resultante.
ALINEACIÓN FINANCIERA
Las mejoras operacionales son muy importantes para poder competir hoy en día. Se les ha
dado mucho énfasis a metodologías como reingeniería de procesos, TQM (Total Quality
Management), empowerment, etc. Sin embargo estas no deben ser vistas como un fin, sino
con el medio para lograr los objetivos propuestos. Por esto es muy importante que estas
mejoras se encuentren relacionadas a objetivos financieros y sus respectivas métricas. Así se
percibirá el valor que agrega al negocio.
MAPA ESTRATÉGICO
Un mapa estratégico (Kaplan, R. y Norton, D., 1996b) sirve para tener una idea clara de la
estrategia de la organización mediante el uso de un diagrama causa – efecto del BSC entre los
objetivos de las diferentes perspectivas. A continuación un ejemplo:
FINANCIERA
Mejorar los
ingresos
CLIENTES
INTERNA
APRENDIZAJE Y CRECIMIENTO
Incrementar la
productividad del empleado
Fuente: Metro Bank Strategy pg 152 The Balanced Scorecard Translating strategy into action (Kaplan & Norton 1996a)
ORIENTACIÓN DE CLIENTES
Generar ventaja
Lograr que nuestros clientes
competitiva en
aumenten su rentabilidad
nuestros clientes
EXCELENCIA OPERACIONAL
Aumento de calidad en
Innovación y optimización
productos y servicios
continua
Calidad en procesos de
desarrollo
Fuente: iWolf S.A., trabajo universitario creado en la materia ‘Sistemas de Gestión’ 2005
Anexo 2
IT Balanced Scorecard (CMI para las TI)
CONTRIBUCIÓN A LA EMPRESA
Esta perspectiva representa la percepción de la directiva y ejecutivos del negocio de las
iniciativas y actividades de las TI. Deberá buscar la entrega de valor de las TI, alineamiento con
los objetivos del negocio, costos, riesgos y sinergia entre líneas de negocio.
ORIENTACIÓN AL CLIENTE1
Esta perspectiva es la que nos permitirá explotar las oportunidades de negocio y maximizar la
eficiencia de las operaciones de TI.
EXCELENCIA OPERACIONAL
La excelencia operacional Entregar productos y servicios eficientemente.
ORIENTACIÓN FUTURA
Desarrollar la infraestructura con base a retos futuros de la estrategia de negocio.
CONTRIBUCIÓN
CORPORATIVA (F)
Objetivos de TI
Objetivos de Procesos de TI
Indicadores de desempeño
Metas (Corto y largo plazo)
Iniciativas
ORIENTACIÓN DE
ORIENTACIÓN
CLIENTES (C) IT BSC
FUTURA (D)
Objetivos de TI
Objetivos de Procesos de TI Objetivos de TI
Indicadores de desempeño Objetivos de Procesos de TI
Metas (Corto y largo plazo) Indicadores de desempeño
Iniciativas Metas (Corto y largo plazo)
Iniciativas
EXCELENCIA
OPERACIONAL (P)
Objetivos de TI
Objetivos de Procesos de TI
Indicadores de desempeño
Metas (Corto y largo plazo)
Iniciativas
Fuente: Elaboración autores
1
El ‘cliente’ se refiere a las áreas de negocio que soportan sus procesos con los diferentes servicios de
tecnologías de información que presta el departamento de TI.
Anexo 3
Procesos de Tecnologías de Información según COBIT 4.1
Anexo 4
Objetivos de TI genéricos por perspectiva en el IT BSC
En la Tabla 17 se presentan los objetivos obtenidos que recopila Van Grembenger (Van
Grembenger, W., 2007) asociándolos a las perspectivas genéricas del IT BSC.
CONTRIBUCIÓN CORPORATIVA EXCELENCIA OPERACIONAL
Respond to business requirements in alignment Ensure that IT services and infrastructure can properly
with the business strategy. resist and recover from failures due to error, deliberate
attack or disaster.
Ensure transparency and understanding of IT Ensure that critical and confidential information is
cost, benefits, strategy, policies and service withheld from those who should not have access to it.
levels.
Respond to governance requirements in line with Maintain the integrity of information and processing
board direction. infrastructure.
Ensure IT compliance with laws, regulations and Ensure that automated business transactions and
contracts. information exchanges can be trusted.
Improve IT’s cost-efficiency and its contribution to Deliver projects on time and on budget, meeting quality
business profitability. standards.
Account for and protect all IT assets. Define how business functional and control requirements
are translated in effective and efficient automated
solutions.
Establish clarity of business impact of risks to IT Reduce solution and service delivery defects and rework.
objectives and resources.
Drive commitment and support of executive Optimise the use of information.
management (New)
Protect the achievement of IT objectives. Acquire and maintain an integrated and standardised IT
infrastructure.
Acquire and maintain integrated and standardized
application systems.
Ensure mutual satisfaction of third-party relationships.
ORIENTACIÓN DE CLIENTES ORIENTACIÓN FUTURA
Make sure that IT services are available as Acquire and maintain IT skills that respond to the IT
required. strategy.
Ensure minimum business impact in the event of Help innovate new business processes with the use of
an IT service disruption or change. technology (New)
Ensure satisfaction of end users with service Ensure that IT demonstrates cost-efficient service
offerings and service levels. quality, continuous improvement and readiness for
future change.
Ensure seamless integration of applications into Create IT agility.
business processes.
Ensure proper use of application functionality by
providing end-user training and documentation
(New)
Ensure proper use and performance of the
applications and technology solutions.
Optimise the IT infrastructure, resources and
capabilities.
Fuente: Adaptación de Van Grembenger, W. (2007)
1
De Haes, comunicación personal, 5 de Marzo de 2007
Anexo 5
Priorización de los Procesos de TI
Algunos autores Guldentops, E., Van Grembergen, W. & De Haes, S. (2002), Van Grembenger,
W. (2007), Nuñez, H. (2007), y otros más afirman que sí existen procesos de TI que son más
importantes que otros. Por este motivo han existido publicaciones de procesos de TI más
importantes desde el 2002.
Procesos Procesos de TI
de TI priorizados
Fuente: Elaboración Propia
En 2002, Guldentops, E., Van Grembergen, W. & De Haes, S., realizaron una encuesta a 20
expertos utilizando el método Likert 1 dónde determinaron que los procesos de TI más
importantes (sin orden).
Procesos de TI de COBIT más importantes
PO1 Define a strategic IT plan.
PO3 Define the information architecture.
PO5 Manage the IT investment.
PO9 Assess and manage IT risks.
PO10 Manage projects.
AI1 Identify automated solutions.
AI2 Acquire and maintain application software.
AI7 Install and Accredit Solutions and Changes
AI6 Manage changes.
DS1 Define and manage service levels.
DS4 Ensure continuous service.
DS5 Ensure systems security.
DS10 Manage problems.
DS8 Manage Service Desk and incidents
DS11 Manage data.
ME1 Monitor and evaluate IT performance.
Fuente: Adaptación de Guldentops, E., Van Grembergen, W. & De
Haes, S., (2002)
1
La escala de Likert utiliza parámetros para medir el nivel de desacuerdo.
Un estudio similar realizado por Van Grembergen (2007), basándose en el método Delphi y el
coeficiente de Kendall para medir la correlación, reveló que los procesos más importantes de TI
son:
Procesos de TI de COBIT más importantes
PO1 Define a strategic IT plan.
DS4 Ensure continuous service.
DS1 Define and manage service levels.
PO4 Define the IT processes, organization and relationships.
PO5 Manage the IT investment.
ME4 Provide IT governance.
DS5 Ensure systems security.
AI6 Manage changes.
PO9 Assess and manage IT risks.
ME1 Monitor and evaluate IT performance.
Fuente: Van Grembergen, W. (2007)
Para integrar estos estudios y la experiencia hemos propuesto los Procesos de TI en la Figura
25. En esta figura se encuentran los procesos ordenados por secuencia de implementación,
además se puede observar la relación de la importancia por los procesos.
1
Este cuadro fue realizado originalmente con la versión COBIT 3.0. Para la integración con el resto del
documento ha debido ser modificado para estar de acuerdo con los procesos en la versión COBIT 4.1
Anexo 6
Asociación de Objetivos de TI con los Procesos
Este anexo muestra la asociación entre los objetivos genéricos de TI con los procesos definidos
en el COBIT 4.1.
Generic IT Goals IT Process
PO1, PO2, PO4, PO10, AI1,
Respond to business requirements in alignment with the business strategy. AI6, AI7, DS1, DS3, ME1
Respond to governance requirements in line with board direction. PO1, PO4, PO10, ME1, ME4
PO8, AI4, DS1, DS2, DS7,
Ensure satisfaction of end users with service offerings and service levels. DS8, DS10, DS13
Optimise the use of information. PO2, DS11
Create IT agility. PO2, PO4, PO7, AI3
Define how business functional and control requirements are translated in
effective and efficient automated solutions. AI1, AI2, AI6
Acquire and maintain integrated and standardised application systems. PO3, AI2, AI5
Acquire and maintain an integrated and standardised IT infrastructure. AI3, AI5
Acquire and maintain IT skills that respond to the IT strategy. PO7, AI5
Ensure mutual satisfaction of third-party relationships. DS2
Ensure seamless integration of applications into business processes. PO2, AI4, AI7
Ensure transparency and understanding of IT cost, benefits, strategy, PO5, PO6, DS1, DS2, DS6,
policies and service levels. ME1, ME4
Ensure proper use and performance of the applications and technology
solutions. PO6, AI4, AI7, DS7, DS8
Account for and protect all IT assets. PO9, DS5, DS9, DS12, ME2
Optimise the IT infrastructure, resources and capabilities. PO3, AI3, DS3, DS7, DS9
Reduce solution and service delivery defects and rework. PO8, AI4, AI6, AI7, DS10
Protect the achievement of IT objectives. PO9, DS10, ME2
Establish clarity of business impact of risks to IT objectives and resources. PO9
Ensure that critical and confidential information is withheld from those who
should not have access to it. PO6, DS5, DS11, DS12
Ensure that automated business transactions and information exchanges
can be trusted. PO6, AI7, DS5
Ensure that IT services and infrastructure can properly resist and recover PO6, AI7, DS4, DS5, DS12,
from failures due to error, deliberate attack or disaster. DS13, ME2
Ensure minimum business impact in the event of an IT service disruption
or change. PO6, AI6, DS4, DS12
Make sure that IT services are available as required. DS3, DS4, DS8, DS13
Improve IT’s cost-efficiency and its contribution to business profitability. PO5, DS6
Deliver projects on time and on budget, meeting quality standards. PO8, PO10
Maintain the integrity of information and processing infrastructure. AI6, DS5
Ensure IT compliance with laws, regulations and contracts. DS11, ME2, ME3, ME4
Ensure that IT demonstrates cost-efficient service quality, continuous
improvement and readiness for future change. PO5, DS6, ME1, ME4
Fuente: IT Governance Institute (2007a) p. 171
Tabla 21. Asociación de objetivos genéricos de TI con los procesos de COBIT
Anexo 7
Traducciones de citas en el texto
DEL CAPÍTULO 2
“IT Governance is the term used to describe how those persons entrusted with governance of
an entity will consider IT in their supervision, monitoring, control and direction of the entity.
How IT is applied within the entity will have an immense impact on whether the entity will
attain its vision, mission or strategic goals”
-- Roussey (citado en IT Governance Institute, 2003)
“We define IT governance as specifying the decision rights and accountability framework to
encourage desirable behavior in using IT.”
-- Broadbent, M. (2002, p. 2)
“IT governance is the strategic alignment of IT with the business such that maximum business
value is achieved though the development and maintenance of effective IT control and
accountability, performance management, and risk management.”
Webb, P., Pollard, C. & Ridley, G (2006)
“IT governance is the responsibility of executives and the board of directors, and consists of
the leadership, organizational structures and processes that ensure that the enterprise’s IT
sustains and extends the organisation’s strategies and objectives.”
-- IT Governance Institute (2007a)
“Firms with superior IT governance have more than 25% higher profits than firms with poor
governance given the same strategic objectives. These top performers have custom designed
IT governance for their strategies. Just as corporate governance aims to ensure quality
decisions about all corporate assets, IT governance links IT decisions with company objectives
and monitors performance and accountability. […] IT Governance shows how to design and
implement a system of decision rights that will transform IT from an expense to a profitable
investment.”
-- Weill, P. & Ross, J. (2004a)
“IS/IT governance concentrates on the structure of relationships and processes to develop,
direct and control IS/IT resources in order to achieve the enterprise’s goals through value
adding contributions, which account for balancing risk versus return over IS/IT resources and
its processes”
-- Korac-Kakabadse, N. (citado en Webb, P., Pollard, C. & Ridley, G.,2006)
“Information technology governance establishes direction that ensures the company’s strategic
vision, making the value that IT delivers viewable and quantifiable. Delivering responsibilities
using an established structure that allows decision making to incentive desirable behavior for TI
along with adequate IT risk management.”
-- Baldeón & Pinoargote
DEL CAPÍTULO 3
“In our study of almost 300 enterprises around the World, we did not identify a single best
formula for governing IT. However, one thing is clear: effective IT governance doesn’t happen
by accident. Top performing enterprises carefully design governance. Managers throughout the
enterprise make daily decisions putting that design into practice.”
-- Weill, P. & Ross, J. (2004b)
Apéndices
Apéndice 1
Antecedentes de la empresa ABC
EMPRESA ABC
La compañía ABC nació en el año de 1956. Desde su creación, su labor fue la de industrializar
el procesamiento de GLP, implantando en nuestro país el sistema de almacenamiento,
distribución y utilización de tipo doméstico de éste derivado del petróleo.
El estado asumió en el año 1973 la responsabilidad de comercializar el GLP, responsabilidad
que hoy mantiene a través de Petrocomercial 1 que proporciona el producto a las compañías
comercializadoras, lo que hace que el precio esté fuertemente subsidiado por Estado, quien a
su vez también fija los márgenes de todos los elementos del canal (Adaptado de Blacio, 2005).
Comenzó con la planta de Guayaquil y con el devenir de los años se han creado nuevos centros
de trabajo como son las plantas de: Montecristi, Bellavista, Santo Domingo, Pifo y centros
logísticos en: Esmeraldas, Quito, Shushufindi, Cuenca, Loja, Durán, Quevedo y Ambato.
Esto ha permitido que ABC se convierta en una compañía líder en el ámbito de la
comercialización de gas licuado de petróleo en el Ecuador.
43.25%
38.62%
37.64%
37.14%
36.19%
35.97%
35.83%
33.36%
32.84%
30.99%
17.65%
17.48%
16.19%
15.31%
14.71%
14.20%
14.12%
10.72%
9.27%
8.53%
2001 Barriles: 2002 Barriles: 2003 Barriles: 2004 Barriles: 2005 Barriles:
8'051.060 8'338.455 8'851.423 4'446.482 10'288.333
ABC Competidor 1 Competidor 2 Demás comercializadoras
PRODUCTOS
ABC comercializa el GLP a través de dos sistemas: Ventas por canal y Ventas Directas.
TAMAÑO DE LA EMPRESA
La empresa ABC cuenta con un aproximado de 150 empleados en sus diferentes áreas. El
departamento de Sistemas cuenta con 5 personas.
1
Petrocomercial es una de las tres empresas de la empresa estatal ecuatoriana Petroecuador. Petrocomercial
está dedicada al transporte y comercialización de los productos refinados, para el mercado interno.
2
Los datos fueron obtenidos de Ministerio de Energía y Minas, ESTADÍSTICAS HIDROCARBURIFERAS. Disponible
en http://www.menergia.gov.ec/secciones/hidrocarburos/HidroEstadisticas.html
Apéndice 2
Plantilla de presentación introductoria
Apéndice 3
DT01–ObjetivosTI
Este documento de trabajo se definió para ayudar en la definición de los objetivos estratégicos
de TI. Incluye plantillas para escribirlos y asociarlos con las perspectivas definidas.
Apéndice 4
Base Bibliográfica
Este documento (RF00 Base Bibliográfica.xls) sirvió como base de datos que permitió registrar
la información más importante de cada referencia bibliográfica obtenida. A pesar que no todas
las referencias recolectadas fueron utilizadas para la generación de este documento, su
influencia afectó indirectamente en el resultado de este TFC.
La siguiente información se recolectó por cada ítem:
DOC RF: código del documento (RF01…)
Título, Sitio Web: Título
Fecha Publicación
Autor
Imprenta/Publisher
Comentario Autor: datos adicionales remarcables del autor
Tipo de referencia: física, digital, etc.
Tipo Artículo: libro, paper, investigación, tesis, etc.
Extraíble de Referencia: datos importantes
Temas Keywords e.g. Riesgos del IT Governance, Importancia del COBIT
Fecha revisada
Comentarios: para qué parte del TFC servirá
Importancia: grado de importancia o relevancia del 1 al 5
Páginas del ítem
Categoría: IT Governance, ITIL, BSC, Governance, Estrategia, etc.