Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema 2. Introducción a la
Gobernanza Corporativa de TI
Lección 2. Introducción al estándar
Gobernanza Corporativa de TI ISO /IEC
38500
Resumen
“Los procesos de Gobernanza están diseñados para ayudar a las
organizaciones a utilizar recursos limitados con sabiduría. Sin embargo,
algunos CIOs recientemente me han comentado que las unidades de
negocio en sus compañías han utilizado la recesión como una excusa
para evitar virtualmente todo tipo de mecanismo de Gobernanza de TI.
Los proyectos han circunvalado los comités de estrategia, saltado todos
los procesos de priorización y se han encaminado hacia su
implementación con casos de negocio muy frágiles y planes de proyecto
incompletos. Cuando TI protesta, las unidades de negocio claman que
necesitan acelerar el desarrollo de los proyectos en orden a responder a
las amenazas de la competencia. En efecto, han cedido terreno a sus
competidores evitando todas las disciplinas necesarias para el éxito de los
proyectos.”
Bart Perkins. Diciembre 2009. Computer World
Resumen
• Durante los 60 años que llevan de vida comercial los sistemas de
información y la tecnología de la Información se han presenciado
muchas mejoras en hardware, comunicaciones y software. La
miniaturización, la mejora continua en la relación precio/ rendimiento y
la automatización de trabajos complejos son tres áreas específicas de
cambio. Este es el lado brillante del tema.
• El lado oscuro es el hecho de que el porcentaje de proyectos y
trabajos de TI que fracasan sigue siendo muy elevado. Dependiendo
del tipo de encuesta que leamos, podemos encontrar cifras distintas,
pero siempre altas y no inferiores al 40% de proyectos que no entregan
los beneficios tangibles prometidos y menos de un 50% se terminan en
los plazos y presupuestos acordados. Y un alto porcentaje nunca se
acaban o peor, no se llegan a utilizar.
• Desafortunadamente, estos números no han cambiado demasiado en
los últimos 25 años a pesar de las mejoras en la tecnología, la creación
de nuevos métodos y técnicas. En ese sentido, muchos métodos para
la gestión de TI han prometido mucho y entregado poco. Los fallos
continúan y el éxito no aparece.
Resumen
• Hay algunos problemas específicos con TI y su gestión:
•TI no se percibe que esté alineada/integrada con el negocio.
• Muchos grupos de TI parece que trabajan en proyectos
marginales.
• TI trabaja en una dirección equivocada.
• Mucho trabajo y recursos de TI se consumen en soporte y
mantenimiento de la tecnología y sistemas de TI existentes.
• TI está demasiado enamorada con la nueva tecnología, en
detrimento de las necesidades reales.
•T I reacciona a menudo ante la demanda y los eventos, en lugar
de ser proactiva. Así, TI no parece nunca ir por delante.
• Los resultados de muchos proyectos que se terminan no
producen ni cambios ni beneficios.
• TI y el trabajo de TI parecen estar desconectados de la mejora de
procesos.
• Los beneficios de las inversiones en nuevas tecnologías no se
perciben a menudo.
• Las inversiones en TI durante los 20 últimos años han sido
cuestionados por diversos investigadores.
Resumen
• Gestión: Sistema de controles y procesos necesarios para alcanzar los objetivos estratégicos fijados en una organización. La
gestión está sujeta a las políticas y vigilancia definidas en la gobernanza corporativa
• Competente: Posee la combinación requerida de conocimiento, habilidades formales o informales, entrenamiento, experiencia y
conducta para tener un rol o ejecutar una tarea
• Director: Miembro del órgano de gobierno de mayor nivel dentro de una organización. Incluye propietarios, miembros del consejo,
socios, ejecutivos de alto nivel y personas autorizadas por la regulación o legislación
• Conducta humana: La comprensión de la interacción entre personas y otros elementos de un sistema, para asegurar el rendimiento
del sistema y el bienestar. Incluye la cultura, y las aspiraciones como individuos y como grupos
• Inversión: Asignación de capital, personas y otros recursos para alcanzar objetivos y otros beneficios
• Política: Definición clara y medible de la conducta y dirección preferida, que condiciona las decisiones posibles en una
organización
• Recursos: Personas, procedimientos, software, información, maquinaria, consumibles, infraestructura, fondos de capital y
operativos y tiempo
• Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización respecto a sus riesgos
• Estrategia: Plan general de desarrollo de una organización, que describe el uso eficaz de los recursos para darle soporte en sus
actividades futuras: comprende la definición de objetivos y la propuesta de iniciativas de acción
• Uso de TI: Planificación, diseño, desarrollo, despliegue, operación, gestión y su aplicación a las necesidades del negocio. Incluye
la demanda y la entrega de los servicios de TI por unidades internas de TI, unidades especializadas en TI o proveedores externos,
así como los proveedores de productos como software y servicios
ISO/IEC 38500
Alcance Objetivos
Estándares de seguridad
Legislación sobre Protección de Datos
Legislación sobre corre basura (Spam)
Legislación sobre prácticas comerciales
Derechos de propiedad intelectual (incluidas licencias de
software)
Requisitos de custodia histórica de datos
Leyes y reglamentos sobre el medio ambiente
Legislación sobre seguridad y salud de las personas
Legislación sobre accesibilidad
Estándares de responsabilidad social
ISO / IEC 38500 l
de
Pr ego
es
es ci
N
Gobernanza ad
io o
id
ne
Corporativa s
c e c io
s
e
N ego
de
l
Evaluar N
Dirigir
Uso futuro: Uso actual:
Monitorear
Proyectos de Operaciones de
Propuestas
Negocio Negocio
Políticas
Conformidad
Rendimiento
Planes,
Proyectos Operaciones
TI TI
PROCESOS DE NEGOCIO
ISO / IEC 38500
DOMINIO DE
NEGOCIO:
Como es usado
TI para habilitar Uso futuro: Uso actual:
y operar el
negocio
Proyectos de Operaciones de
Negocio Negocio
OFERTA
OFERTA
DOMINIO DE
TI:
Como es
gestionado y
entregada la TI
12
ISO / IEC 38500
l
de
Pr ego
es
es ci
N Gobernanza d
a
io o
id
ne
Corporativa s
c e c io
s
e
N ego
de
l Evaluar N
Dirigir Monitorear
Propuestas
Políticas
Conformidad
Rendimiento
Planes,
Proyectos Operaciones
TI TI
PROCESOS DE NEGOCIO
13
ISO / IEC 38500
l
de
Pr ego
es
es ci
N Gobernanza d
a
io o
Basándose en esta id
ne
Corporativa s
c e c io
s
e
N ego
de evaluación, la
l Evaluar N
Gobernanza Corporativa
Dirigir dirige la Gestión
Monitorear
Corporativa para tomar
acciones especificas
Propuestas
Políticas
Conformidad
Rendimiento
Planes,
La Gestión
Corporativa, como Dirigir Las Propuestas
Monitorear
Propuestas
con los procesos
Políticas
la debida
Conformidad
Rendimiento
Planes,
de negocio,
prepara consideración a
Propuestas para el las Presiones y
uso de TI Necesidades del
Proyectos Operaciones Negocio
TI TI
PROCESOS DE NEGOCIO
ISO / IEC 38500
l
de
Pr ego
es
es ci
N Gobernanza d
a
io o
id
ne
Corporativa s
c e c io
s
e
N ego
de
La Gestión Corporativa
l Evaluar N
acomete los Proyectos TI La capacidad entregada
para proveerDirigir
a la es entonces
Monitorear utilizada
organización la para operar el negocio
capacidad requerida
Propuestas
Políticas
Conformidad
Rendimiento
Planes,
Proyectos Operaciones
TI TI
PROCESOS DE NEGOCIO
ISO/IEC 38500
l
de
Pr ego
es
es ci
N Gobernanza d
a
io o
id
ne
Corporativa s
c e c io
s
e
N ego
de
l Evaluar N
Dirigir Monitorear
Propuestas
Políticas
Conformidad
Planes,
Desempeño
Proyectos de Negocio con dependencias TI Operaciones
Proyectos
TI TI
GESTION CORPORATIVA
PROCESOS DE NEGOCIO
ISO / IEC 38500
l
de
Pr ego
El rendimiento de la TI y Gobernanza es
es ci
N d
a
io o
id
ne
Corporativa s
la Conformidad con la c e c io
s
e
N ego
de
l
Gestión Corporativa, a Evaluar N
través de reglas y
políticas, es informada
Dirigir Monitorear
periódicamente a la
La Gobernanza Corporativa
Gobernanza Corporativa
monitorea los informes para
Propuestas
evaluar el Desempeño y
Políticas
Conformidad
Rendimiento
Planes,
Conformidad. El
conocimiento que se
desprende de este monitoreo
es tomado enProyectos
cuenta para Operaciones
que futuras propuestas
TI sean TI
evaluadas
PROCESOS DE NEGOCIO
RELACION ENTRE GOBERNANZA Y GESTION
s
de
Pr l
a
id ocio
es
de ego
Gobernanza s
io
N
ce eg
ne
Corporativa Ne l N
s
Planificar
cio
de
Evaluar
Conformidad
Desempeño
Propuestas
Políticas
Planes,
TI
Proyectos de Operaciones de
Negocio con Negocio con
dependencias TI dependencias TI
Desarrollo Propuestas
de la estrategia: Para definir la Visión
referentes
visión del negocio al
asíuso
como la estrategia del
actual yde
uso esperado futuro de Dos niveles en el
la TI.
Estrategia
desarrollo de laTI
estrategia: Planificar
•Establecimiento de la visión a la que la
organización aspira.
Planificar
• Definición de cómo la visión será
Proyectos TI
conseguida.
(Cambios
habilitados por TI)
Construir
Implementación
Operaciones TI
(Operaciones de
Negocio
habilitados por TI) Ejecutar
Operación
SISTEMAS DE GESTION
DESCOMPOSICION DEL CICLO DE GESTION
Propuestas Visión
referentes al uso
actual y futuro de Estrategia
TI priorizar y asignarPlanificar
Planificación: Para
los recursos para entregar y operar la TI
– sistemas de negocio requeridos por la
estrategia de la organización-.
Planificar
Proyectos TI
(Cambios
habilitados por TI)
Construir
Implementación
Operaciones TI
(Operaciones de
Negocio
habilitados por TI) Ejecutar
Operación
SISTEMAS DE GESTION
DESCOMPOSICION DEL CICLO DE GESTION
Propuestas Visión
referentes al uso
actual y futuro de Estrategia
TI Planificar
Operaciones TI
(Operaciones de
Negocio
habilitados por TI) Ejecutar
Operación
SISTEMAS DE GESTION
DESCOMPOSICION DEL CICLO DE GESTION
Propuestas Visión
referentes al uso
actual y futuro de Estrategia
TI Planificar
Planificar
Proyectos TI
(Cambios
habilitados por TI)
Construir
Operación: Conducta en curso de la TI
Implementación
– actividades de negocio habilitadas
para realizar la estrategia establecida
porOperaciones TIy objetivos
la organización
(Operaciones de
operacionales
Negocio
habilitados por TI) Ejecutar
Operación
SISTEMAS DE GESTION
DESCOMPOSICION DE LOS SISTEMAS DE GESTION EN
DISCIPLINAS (THORP)
Estrategia
Arquitectura de
Portfolio
Empresa
Arquitectura de Empresa: Planificando y
gestionando el diseño global así como la
interacción de los componentes dentro del
sistema Planificación Programa
de negocio (personas, procesos,
Activos
estratégica: Estableciendo
estructurapara
dirección y tecnología).
un uso efectivo, eficiente y
aceptable de la TI
Proyecto
Operación
DESCOMPOSICION DE LOS SISTEMAS DE GESTION EN
DISCIPLINAS (THORP)
Estrategia
Arquitectura de
Gestión del Programa: Supervisión
Portfolio global de los trabajos requeridos para
Empresa
entregar las inversiones acordadas
Programa
Activos
Proyecto Gestión del Portfolio: Selección
de las opciones de inversión mas
apropiadas
Operación
DESCOMPOSICION DE LOS SISTEMAS DE GESTION EN
DISCIPLINAS (THORP)
Estrategia
Arquitectura de
Gestión de Proyectos: Planificación
Portfolio especifica e implementación de una
Empresa
iniciativa aprobada.
Programa
Activos
Gestión de Activos TI: Asegurando que
los sistemas SW e infraestructura
permanecen eficientes, eficaces y
Proyecto
aceptables y que son retirados y /o
reemplazados apropiadamente.
Operación
DESCOMPOSICION DE LOS SISTEMAS DE GESTION EN
DISCIPLINAS (Thorpe)
Estrategia
Entrega del Servicio
Arquitectura de
Operacional: Proporcionando
entrega eficaz, eficiente y
Portfolio
Empresa
aceptable de la capacidad
operacional requerida por la
organización.
Programa
Activos
Seguridad de la Información:
Comprensión y tratamiento del riesgo de
la disponibilidad, integridad, privacidad y
autenticidad de la información que la
Proyecto
organización crea y colecciona a l largo
del negocio.
Operación
SISTEMA DE GOBERNANZA
EVALUAR
DIRIGIR
MONITOREAR
SISTEMA DE GOBERNANZA
to Cr
en e
a mi ico de aci
ine té
g Va ón
Al stra lor
e
Comportamiento
Humano Adquisición
Ren
Med iento
Ries n de
gos
dim
ida d
tió
Ges
el
Gestión
de Recursos
RESPONSABILIDAD
ESTRATEGIA
ADQUISICION
RENDIMIENTO
CONFORMIDAD
COMPORTAMIENTO HUMANO
SISTEMA DE GOBERNANZA
En la evaluación de un sistema de gobernanza participan los cuatro elementos del sistema: personas, procesos,
estructura y tecnología.
ISO / IEC 38500 proporciona un marco para evaluar cualquier sistema de gobernanza de TI:
Evaluación
gobernanza
Tareas Evaluar Dirigir Monitorear
Principios
¿Qué significa cada celda?
Responsabilidad ¿Cómo se realiza?
¿Qué hay que tratar de mejorar?
¿Qué consecuencias de mejora deberían ser
Estrategia
buscadas?
Adquisición
: Humano, Organizativo (entre otros procesos, sistemas, bases de datos, cultura y valores) y Relacional
1
Ejemplo de elementos de soporte a
Estrategia
Se puede describir el modelo de negocio en media página y saber qué papel juega exactamente la TI en ese
modelo
El modelo de negocio es estable en el tiempo, aunque algunas estrategias pueden cambiar en uno o dos años
Los expertos en TI participan en el desarrollo de la estrategia y comunican las alternativas e implicaciones de la
TI sobre la estrategia
Se comprenden los entornos de negocio y de nuestra competencia y las implicaciones que tienen sobre la TI
Todas las personas que trabajan en la Unidad comprenden el modelo de negocio, estrategias, planes de acción y
qué suponen para cada uno de ellos
Se usa un modelo sencillo (por ejemplo un BSC) para convertir la estrategia de negocio en acciones de TI
Nuestros directivos y profesionales comprenden que la estrategia no es estática y reaccionan rápidamente a los
cambios
Se usan modelos como COSO, COBIT, ISO27000 para identificar, medir y reducir los riesgos
Todos los directivos comprenden el impacto de la estrategia de negocio en la arquitectura TI
El Consejo decide los principios de uso de TI, alineados con el modelo y estrategia de negocio
El Consejo decide sobre la prioridades de TI, el presupuesto de TI y el orden de las inversiones en TI
Hay un modelo claro para decisiones de inversión en TI basado en los conceptos Supervivencia, Conformidad,
Estrategia y Táctica
Los planes de TI usan modelos de comunicación basados en BSC, Zachmann u otros modelos
establecidos en la industria
El Consejo conoce el valor de nuestra propiedad intelectual y nuestros datos, y vigila las estrategias dirigidas a
aumentar ese valor
Se vigilan las actitudes y valores de las personas y las alineamos con nuestro modelos de negocio y nuestra
prioridades
Hay estrategias específicas para mantener y aumentar el valor de negocio de nuestro Capital y sus componentes
(Material e Inmaterial (Humano,Organizacional, Relacional)
. . . . . . . . . .
Ejemplo de elementos de soporte a Adquisición
Medir el balance coste / beneficio de las inversiones y gastos, considerando el valor creado para la Empresa
Se miden y vigilan los indicadores esenciales del negocio y de la TI y se explican las desviaciones y las medidas
correctoras previstas
Se consideran varias clases de inversiones (estratégicas y tácticas, de soporte y de cambio,…)
Las inversiones se gestionan a lo largo de toda su vida útil
• La valoración de los sistemas, y por lo tanto, de sus proyectos de desarrollo o sus adquisiciones se efectúa
considerando toda la vida útil de esos sistemas, midiendo el valor aportado al negocio y los requisitos
específicos de los sistemas: explotabilidad, fiabilidad, mantenibilidad, facilidad de uso
Las inversiones en TI se gestionan como carteras de inversión, con criterios acordados con el negocio, definidos,
comprensibles y mediables, con procedimientos escritos
Hay un cuadro de mando acordado entre negocio y TI, con definiciones concretas y acordadas de su significado,
sus fórmulas y procedimientos de cálculo y su representación.
El cuadro de mando se basa en modelos como Zachmann y usa BSCs
El cuadro de mando se elabora de forma automatizada, con procesos auditados y los grados de detalle precisos.
El cuadro de mando es el elemento esencial de comunicación de resultados entre TI y Negocio y forma parte de
todas las agendas de reunión
..........
Ejemplo de elementos de soporte a
Comportamiento
Humano
EVALUAR VIGILAR
• Juzgar las estrategias, propuestas y contratos de • El rendimiento de la TIC, por medio de los
suministro (interno y externo) sistemas de medida apropiados
• Deben considerar las presiones internas y • Deben asegurarse de la concordancia
externas (cambios tecnológicos, tendencias entre el rendimiento real y el planeado,
económicas y sociales e influencia política y sobre todo en lo relativo a objetivos de
evaluar sus impactos negocio
• Deben considerar las necesidades actuales y • Deben asegurarse de la conformidad de TI
futuras del negocio y los objetivos actuales y con regulaciones, legislación y contratos,
futuros así como las prácticas internas de trabajo
Ne e l N
DIRIGIR
eg es
ce eg
d
• Deben asignar responsabilidades y dirigir
io
l N ion
sid oc
oc
la escritura e implantación de planes y
ad io
de res
políticas, que fijen la dirección de las Evaluar
es
P
inversiones en proyectos y operación de
TIC.
• Las políticas deben establecer conductas
Propuestas
positivas para el uso de TI Dirigir Vigilar
• Deben asegurarse de que la transición de
Conformidad
Rendimiento
proyectos a servicios en operación está
Políticas
gestionada adecuadamente y considera el
impacto en la operación existente Planes
• Deben promover una cultura de buen
gobierno en su organización, haciendo que
los directivos informen a tiempo para poder
cumplir los 6 principios de la buena
gobernanza Proyectos Operación
de TIC de TIC
Responsabilidad P
de res
l N ion
eg es
oc
io
Estrategia
Planes
Políticas
Dirigir
Conformidad
Proyectos de TIC
Propuestas
Evaluar
Conducta Humana
Rendimiento
ISO/IEC 38500
Conformidad
Controlar
Adquisición d
Ne el N
ce eg
si o c
da io
Operación de TIC
de
s
Rendimiento
Principales aportaciones de la ISO 38500
-La norma ISO 38500 es aplicable a cualquier tipo de organización
para implantar un buen gobierno de TI que guía a la gestión de TI.
- Es responsabilidad del Consejo el buen gobierno que guía a la
organización en el uso de la TI.
- Debe prestarse más atención a las decisiones que la organización
toma acerca del uso futuro de la TI y al compromiso de la organización
a que sea un éxito, que a la oferta existente para satisfacerla.
- Los principales usuarios de la norma son los ejecutivos de la
organización
- La buena gobernanza de TI afecta positivamente a todas las partes
interesadas en el valor y buen funcionamiento de la organización.
- El comportamiento de las personas es clave para el buen gobierno
de TI.
- Cada organización es responsable de implantar el modelo adaptado
a su cultura y situación
El Liderazgo Digital
La norma ISO/IEC 38500 en la era digital
• Es la capacidad de los líderes de negocio para identificar y comprender las oportunidades
de crecimiento y valor mediante un uso de la TI eficaz, eficiente y aceptable de TI.
ion el
• Gobernanza Corporativa
es
Evaluar
Gobernanza de TI es el sistema
mediante el cual el uso
Dirigir Monitorear actual y futuro de TI es
dirigido y controlado.
0:37/2
La norma ISO/IEC 38500 en la era digital
• Responsibilidad
– El Liderazgo Digital es una responsabilidad conjunta del
cuerpo de gobierno y el equipo ejecutivo de gestión.
• Estrategia
– El Liderazgo Digital define y entrega planes estratégicos y
detallados para la transformación digital de la organización
y su respuesta a la transformación digital del mercado.
• Adquisición
– El Liderazgo Digital asegura que cada inversión en la
transformación digital está adecuadamente definida, a
tiempo y de forma racional.
0:39/2
La norma ISO/IEC 38500 en la era digital
• Desempeño
– El Liderazgo Digital asegura que la transformación se realizará
puntualmente, que los planes consideran los factores para el cambio
interno y externo y los resultados pretendidos se consiguen.
• Conformidad
– El Liderazgo Digital presta atención a la evolución de la conformidad
con la demanda y cuando es necesario dirige la evolución de los
requisitos del mercado . El Liderazgo Digital asegura que los controles
internos y externos están configurados para facilitar la transformación
digital deseada.
• Comportamiento Humano
– El Liderazgo Digital reconoce que las personas que están, a menudo,
a la cabeza de la organización en querer aprovechar las oportunidades
que ofrece la tecnología , están frustradas por la percepción de retraso
y perciben como un reto el potencial impacto del cambio sobre sus
empleos, estado y estilo de vida.